Opinión | Más allá del papel: el nuevo estándar de compliance como sistema operativo, medible y defendible

Opinión | Más allá del papel: el nuevo estándar de compliance como sistema operativo, medible y defendible

23-04-2026 | Basham, Opinión

Por Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa

En la mayoría de las organizaciones, el compliance ya no es un tema de diseño de políticas sino de la forma en que estas se ejecutan en el día a día.

Las empresas han invertido en la creación de códigos de conducta, políticas y programas formales. Sin embargo, los principales riesgos (regulatorios, penales y reputacionales) no se generan por la falta de estos documentos, sino por la falta de capacidad para demostrar que efectivamente operan en la práctica.

Este reto ha redefinido el rol del compliance officer y del director legal. Hoy, su responsabilidad no se limita a estructurar los marcos normativos internos, sino a asegurarse que estos marcos se integren en la operación, influyan en la toma de decisiones y generen evidencia verificable.

En este contexto, el compliance debe funcionar como un sistema operativo de control, evolucionando y superando el enfoque tradicional de contar con un programa en papel.

Los nuevos estándares

Existen diversas fuentes y autoridades que han desarrollado principios de compliance que se atienen a las necesidades actuales de esta función. Por ejemplo, el Departamento de Justicia de los Estados Unidos (DOJ) establece tres preguntas fundamentales que hoy reflejan uno de los estándares de evaluación de los programas de compliance:

Is the program well designed?

Is the program being applied earnestly and in good faith?

Does the program work in practice?

La tercera pregunta que hace el DOJ es la que está redefiniendo el análisis de los programas de compliance y, en la práctica, esta pregunta es la que suele determinar si un programa es considerado efectivo o meramente formal en caso de una investigación.

Por lo anterior, ya no es suficiente acreditar que el programa existe o que ha sido difundido a los colaboradores. Las autoridades esperan que las organizaciones puedan demostrar, con evidencia objetiva, que los controles establecidos en el programa se ejecutan en operaciones reales y que se generan resultados verificables.

La incapacidad de demostrar que un programa funciona en la práctica genera una pérdida sustancial del valor del programa como elemento de defensa frente a las autoridades.

Cuando el compliance se vuelve estratégico para la toma de decisiones

El compliance no debe verse como una carga administrativa o un obstáculo para la generación de negocio. Puede ser una herramienta para generar valor cuando se convierte en un elemento estructural para la toma de decisiones. Un programa que no funciona como elemento determinante en la toma decisiones estratégicas es irrelevante desde una perspectiva de gestión de riesgos.

Un programa de compliance efectivo debe responder con soporte y evidencia:

  • ¿Qué controles operaron en un periodo determinado?: las empresas deben contar con registros verificables (logs, aprobaciones, sistemas) que acrediten su aplicación consistente. Esto permite demostrar que el sistema no solo existe, sino que se ejecuta de manera sistemática.
  • ¿Qué transacciones fueron bloqueadas o escaladas?: se debe demostrar que el sistema de compliance tiene capacidad real de intervención para detener, validar o escalar decisiones que pueden generar riesgos. Un sistema que no bloquea o condiciona operaciones carece de efectividad práctica.
  • ¿Qué riesgos se detectaron y cómo se atendieron?: debe existir trazabilidad completa desde la identificación del problema hasta su remediación y seguimiento, a efecto de demostrar control real de riesgos.

Estas respuestas constituyen, en la práctica, la diferencia entre un programa de papel y un programa real con ejecución concreta.

Integración de compliance en los procesos del negocio

Para que un programa de compliance cumpla debidamente con su función, debe operar bajo tres condiciones esenciales:

  1. Integrado en los procesos de negocio: los controles deben integrarse como parte del flujo operativo de la empresa como procesos necesarios, que deben llevarse a cabo como parte de los negocios de la empresa. Un proceso que no forma parte integral de las operaciones de la empresa puede ser eludido fácilmente.
  2. Alineación con la gestión de riesgos: una política robusta y elaborada de acuerdo con los más altos estándares internacionales no será efectiva si no está ajustada a los riesgos materiales de la empresa y pierde valor si no se cuenta con una correcta priorización de riesgos, diluyendo el valor y efectividad del programa y generando desperdicio de recursos.
  3. Operando como parte de la actividad diaria: el compliance debe permearse desde la alta dirección a los equipos que llevan a cabo la ejecución de las actividades que pueden generar riesgos, como parte de la cultura de la empresa y no como un elemento independiente a las actividades del día a día. El compliance visto como elemento aislado tiene eficacia limitada.

Aplicación concreta

A continuación, se enlistan sugerencias específicas para la integración del compliance:

Contratación

Todos los proveedores, sin importar el tamaño o la materialidad de sus productos y servicios, deben seguir el proceso de validación previa como requisito indispensable para su contratación.

Implicación: la empresa debe establecer procesos obligatorios para impedir la contratación sin un due diligence.

Finanzas

Los pagos deben estar sujetos a controles automatizados que se adecúen a las necesidades y tiempos de respuesta de la empresa, con roles claros y definidos.

Implicación: el sistema debe impedir operaciones que no cumplan con las políticas o el proceso de pago implementado.

Recursos Humanos

Las evaluaciones para contratación deben —además de verificar capacidades— incorporar validaciones legales y éticas.

Implicación: no deben llevarse a cabo contrataciones sin que exista el expediente completo y verificable.

Cadena de suministro

Siempre que se cumplan con los procesos de contratación antes descritos, las obligaciones de cumplimiento de proveedores y prestadores de servicios deben estar debidamente documentadas en los contratos que se firmen, estableciendo de manera clara las obligaciones de los proveedores/prestadores, incluyendo sanciones y derechos de rescisión.

Implicación: la empresa debe poder auditar y, en su caso, terminar relaciones por incumplimiento.

Criterio de materialidad

Si un proceso puede ejecutarse sin activar un control de compliance, ese control se vuelve irrelevante y no cuenta con funcionalidad, por lo que debe revisarse y adecuarse.

Controles preventivos: expectativa regulatoria y estándar mínimo

Las empresas pueden utilizar criterios existentes como base para determinar la eficacia de sus programas y que estos realmente puedan generar valor. Por ejemplo, en México, la Comisión Nacional Bancaria y de Valores establece que los sistemas de control deben:

  • Prevenir riesgos: los controles deben impedir la ejecución de conductas de riesgo, no limitarse a detectarlas y sancionarlas posteriormente.
  • Estar claramente documentados: cada control debe estar claramente definido, incluyendo responsables y forma de ejecución.
  • Ser verificables y auditables: debe existir evidencia suficiente para acreditar que el control operó correctamente.

Evidencia de aplicación y efectividad

Como se comentó, el DOJ establece que las empresas deben tener la capacidad de demostrar que sus programas funcionan mediante evidencia basada en datos concretos.

Esto implica que la organización debe acreditar el nivel o porcentaje de ejecución, qué tan efectiva es la implementación, qué incumplimientos se identificaron y qué acciones correctivas se implementaron.

Este enfoque transforma el compliance en un sistema medible, auditable y defendible.

Dinamismo del programa de compliance

Para que un programa de compliance sea efectivo, debe ser dinámico y flexible, para ajustarse conforme evolucionan los riesgos de la empresa, las leyes y su regulación y el modelo de negocio de la empresa. Los programas que no siguen los cambios internos y externos de las empresas se vuelven obsoletos.

Compliance como herramienta estratégica

Más que una carga administrativa, el estado y evolución actual del compliance tiene el potencial de generar beneficios directos a las empresas mediante la detección y reducción de exposición a riesgos, mejoras en los procesos operativos mediante la asignación clara de funciones, responsabilidades y roles, y como una ventaja competitiva ante clientes e inversores, quienes ven a las empresas con un sistema de compliance actualizado y avanzado como mejores socios comerciales frente a empresas que no cuenten con estos sistemas.

Por dónde empezar

Si bien cada empresa tiene necesidades y riesgos diferentes, existen pasos básicos que pueden aplicarse para empezar con la evolución de su programa de compliance mediante un diagnóstico de brechas operativas entre sus políticas y las operaciones reales de las empresas, determinando de tal forma los riesgos más relevantes para diseñar los controles preventivos necesarios y determinar roles y funciones que pueden tener mayor injerencia en eventos de riesgo, enfocando así la capacitación en estos funcionarios. Lo anterior permite de igual forma establecer desde el diseño las métricas que deben utilizarse para medir y estar listos para reportar o defender el valor de cada programa.

Conclusión

En la práctica, la diferencia entre un programa de compliance formal y uno efectivo es la capacidad de demostrar que opera en la realidad, genera evidencia y resiste escrutinio regulatorio.

Hoy, las organizaciones que no pueden demostrar la ejecución efectiva de su programa enfrentan una exposición significativa en escenarios de revisión o investigación y, por otro lado, las organizaciones que logran esta transición no solo mitigan riesgos, sino que fortalecen su operación, mejoran su posición frente a reguladores y se convierten en contrapartes confiables en un entorno cada vez más exigente.

Este cambio implica un rediseño estructural del sistema de compliance que, en la mayoría de los casos, requiere un enfoque especializado para su correcta implementación.

Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa

Si deseas obtener más información, comunícate con nosotros a través de contacto@compliancelatam.legal.

 

Estados Unidos | La SEC de actualiza su Manual de Enjuiciamiento por primera vez desde 2017

Estados Unidos | La SEC de actualiza su Manual de Enjuiciamiento por primera vez desde 2017

22-04-2026 | Miller & Chevalier, Noticias

La actualización del reglamento indica que el presidente de la entidad tiene la intención de que la División de Ejecución actúe de manera deliberada y transparente, y bajo la estrecha supervisión de altos funcionarios.

El 24 de febrero de 2026, la División de Enjuiciamiento (Enforcement Division) de la Comisión de Valores y Bolsa (SEC), entidad federal encargada de la supervisión del mercado de valores estadounidense y de los emisores, anunció actualizaciones de su Manual de Enjuiciamiento (Enforcement Manual) por primera vez desde 2017. Según lo descrito por la SEC, las “anticipadas” y “necesarias” actualizaciones tienen la intención de hacer que el proceso de enjuiciamiento de la Comisión sea más transparente, eficiente y uniforme.

Estos cambios en el Manual se relacionan a los esfuerzos del presidente de la SEC, Paul Atkins, por hacer cambios en la División de Enjuiciamiento, ya que muchas de las actualizaciones proporcionan a los acusados más tiempo y un proceso más ágil para presentar sus casos a la Comisión. La actualización del Manual indica que el presidente Atkins tiene la intención de que la División de Ejecución actúe de manera deliberada y transparente, y bajo la estrecha supervisión de altos funcionarios, en contraste con lo que anteriormente ha descrito como una “ejecución excesiva” bajo los presidentes de comisión anteriores.

Aunque el Manual incluye actualizaciones en todas sus secciones, la Comisión ha destacado varios cambios significativos que se tratan con más detalle a continuación.

Marco de cooperación actualizado para las empresas

El Manual proporciona más detalles sobre el marco de la División de Enjuiciamiento para evaluar la cooperación de las empresas. El Manual actualizado identifica las mismas “cuatro medidas generales de cooperación de una empresa” que la versión anterior: (1) autorregulación; (2) autoinforme; (3) remediación; y (4) cooperación, pero las actualizaciones proporcionan detalles adicionales en varias categorías. Ver Manual en 6-95 a 6-97.

  • Autodenuncia: Las actualizaciones hacen hincapié en la importancia de la autodenuncia antes de que se descubra una conducta indebida. El autoinforme debe tener lugar “antes de que el personal se entere de conductas indebidas de otras fuentes y antes de la amenaza inminente de divulgación o investigación gubernamental”. Además, “el crédito de autodenuncia rara vez será apropiado para una conducta que ya ha recibido atención de los medios o está sujeta a investigación por parte de otro ente regulador”.
  • Remediación: El Manual actualizado enumera ahora varios ejemplos de “reparación efectiva”: “[e]l tomar medidas apropiadas con respecto a los empleados involucrados en conductas indebidas”; “fortalecer los controles internos”; “recuperar salarios o beneficios entregados a los ejecutivos responsables”; “hacer correcciones informativas y de registro rápidas”; “contratar nuevo personal financiero y contable para abordar cuestiones de contabilidad y divulgación”; “mejorar la capacitación del personal relevante”; y “retener consultores independientes de cumplimiento para asesorar sobre otras medidas correctivas”.
  • Cooperación: El Manual actualizado explica que “la cooperación ejemplar puede incluir”: “el resumen de los hallazgos fácticos de las investigaciones internas”; “el resumen de las entrevistas de los testigos ubicados en el extranjero”; “la identificación de documentos clave y testigos”; “la traducción de documentos en idiomas extranjeros”; “el suministro de análisis financieros realizados por expertos externos”; “la facilitación de las entrevistas voluntarias de los testigos”; y “[t]odas otras medidas que promuevan significativamente la investigación de la Comisión”. Ver Manual en 6-96 a 6-97.

Por último, aparte de estas categorías, el manual actualizado añade una nueva sección sobre el Comité de Cooperación de la División de Enjuiciamiento. El Manual establece que el personal de la Comisión “debe solicitar” la aprobación del Comité para todos los acuerdos de cooperación, acuerdos de enjuiciamiento diferido, acuerdos de no enjuiciamiento y solicitudes de inmunidad. Y las decisiones del Comité están sujetas a la aprobación del director de la División de Ejecución. Ver Manual en 6-98.

Asegurar un proceso uniforme de Wells

El Manual actualizado incluye cambios significativos en el proceso de Wells (Wells Process), el procedimiento formal mediante el cual las personas o entidades investigadas se defienden antes de que la Comisión recomiende acciones legales, generalmente por la entrega de un documento escrito a la Comisión.

Ahora se requieren aprobaciones adicionales antes de que la Comisión emita una “notificación de Wells” (Wells notice), que alerta a entidades y personas sobre los posibles cargos en su contra. El personal debe obtener la aprobación de un Director Asociado y “luego la aprobación de la Oficina del Director” antes de emitir una notificación de Wells o recomendar una acción de enjuiciamiento sin emitir una notificación de Wells. La Comisión también debería notificar por adelantado, “cuando sea factible”, su intención de enviar una notificación de WellsVer Manual en 2-21 a 2-25. 

El Manual ahora ordena explícitamente al personal de la Comisión que proporcione acceso a las pruebas en el expediente de investigación al destinatario de una notificación de Wells. Si bien compartir evidencia a menudo ha sido parte del proceso histórico de Wells, el Manual ahora es explícito en este punto. Por ejemplo, “[como] parte del proceso de Wells, el personal debe informar al destinatario de la notificación de Wells de las pruebas sobresalientes que el personal haya reunido o recibido” y, después de que se envíe la notificación, “el personal debe ser comunicativo sobre el contenido del expediente de la investigación”.

Los destinatarios de una notificación de Wells normalmente tendrán cuatro semanas para presentar una “respuesta de Wells” (Wells Submision), que es una respuesta voluntaria a las recomendaciones propuestas por la Comisión. Se trata de una desviación notable con respecto a la versión de 2017 del Manual, que no establecía un plazo específico para tales respuestas. La Comisión cree que este cambio “fomentará este diálogo y facilitará una mayor coherencia en el proceso de Wells“. Consulte el comunicado de prensa de la SEC.

El manual actualizado también explica lo que hace que una respuesta de Wells sea más útil para el personal de la Comisión. Las presentaciones más útiles son aquellas que “se centran en cuestiones fácticas o legales en disputa, o plantean riesgos legales significativos o preocupaciones de regulación o programáticas. Véase el Manual en 2-25. 

El Manual actualizado proporciona detalles sobre el calendario de las reuniones posteriores a la notificación de Wells. El Manual ahora dice que “[l]as solicitudes para una reunión posterior a la notificación de Wells suelen concederse”, al tiempo que continúa advirtiendo que “a un receptor de la notificación de Wells generalmente no se le concederá más de una (1) reunión posterior”. La actualización explica que estas reuniones deberían programarse “en un plazo razonable” y establece un plazo no superior a cuatro semanas después de que la Comisión reciba la respuesta de Wells. La actualización especifica además que estas reuniones incluirán a “un miembro de la alta dirección a nivel de Director Asociado o superior”. Véase el Manual en 2-27.

Examen simultáneo de Negociaciones y Solicitudes de Exención

El Manual describe el proceso para conceder a las entidades investigadas una exención de las consecuencias de una acción de enjuiciamiento, como la pérdida de ciertos beneficios de registro de valores, al mismo tiempo que sopesa el lograr un acuerdo con la Comisión. Véase el Manual en 2-27.  

El Manual señala que la Comisión recientemente “restableció su práctica anterior de permitir que una entidad en proceso de negociación solicitar que la Comisión considerara simultáneamente una oferta de negociación y cualquier solicitud conexa de exención de la Comisión de las descalificaciones automáticas y otras consecuencias colaterales que resulten de la acción de enjuiciamiento subyacente”.

No obstante, la Comisión conserva su facultad discrecional para decidir si accede o no a estas solicitudes. Si la Comisión acepta una oferta de acuerdo, pero rechaza una solicitud de exención, el personal de la Comisión notificará “rápidamente” a la entidad y solicitará una decisión, “generalmente dentro de los cinco días hábiles”, respecto a si la entidad desea avanzar con la parte de la oferta de acuerdo aceptada por la Comisión. Si la Comisión no recibe una respuesta inmediata, “determinará si negocia y recomienda un nuevo acuerdo o recomienda un procedimiento litigioso”.

Remisiones a las autoridades penales

Además de las actualizaciones descritas anteriormente, la Comisión destacó cambios significativos en su protocolo para la remisión a las autoridades criminales.

En respuesta a la Orden Ejecutiva 14294, que ordenó a las agencias que publicaran planes para abordar los delitos regulatorios con responsabilidad criminal (penal), la Comisión adoptó seis factores que su personal debería considerar al decidir si remitir a las autoridades encargadas de la aplicación de la ley criminal: 1) “el daño o el riesgo de daño causado por el posible delito”; 2) “la posible ganancia para el presunto acusado”; 3) “si el presunto acusado tenía conocimientos especializados, experiencia o estaba licenciado en una industria relacionada con la norma o reglamento en cuestión”;  (4) “si el presunto acusado sabía que la conducta causaría daño o que violaba la ley”; (5) “si el presunto acusado es un reincidente o ha participado de otra manera en un patrón de mala conducta”; y (6) si la participación del DOJ “proporcionará una protección significativa adicional a los inversores”. Véase el Manual en 5-88.

Si tienes dudas, escríbenos a contacto@compliancelatam.legal.

Opinión | Las implicaciones prácticas de la nueva CEP del Departamento de Justicia de Estados Unidos

Opinión | Las implicaciones prácticas de la nueva CEP del Departamento de Justicia de Estados Unidos

20-04-2026 | Miller & Chevalier, Opinión

Por Maria Elena Lapetina, Socia, Departamento Internacional; y Angelo Márquez, Asistente Legal, Departamento Internacional | Miller & Chevalier

El 10 de marzo de 2026, el Departamento de Justicia (DOJ) de los Estados Unidos anunció la publicación de su nueva Política de Enjuiciamiento Corporativo (Corporate Enforcement Policy, CEP), de aplicación transversal a todas las materias criminales tramitadas por el Departamento. Siendo la primera en su tipo, la CEP busca ofrecer una guía clara y uniforme para incentivar a las empresas a revelar de forma temprana y voluntaria conductas criminales detectadas en el curso de sus operaciones.

Bajo este nuevo esquema, y en línea con las prioridades actuales del DOJ en materia de enforcement, las empresas cuentan con incentivos significativos para identificar tempranamente conductas criminales en su interior, adoptar medidas decisivas de investigación (incluyendo medidas para preservar la información y evidencia relevante), tomar acciones de remediación, y realizar divulgaciones voluntarias ante el DOJ cuando sea aplicable.

Para maximizar la posibilidad de acceder a los beneficios contemplados en la CEP, resulta clave que las empresas fortalezcan determinados componentes de sus sistemas de cumplimiento, en particular:

  • Implementar y reforzar los mecanismos internos de reporte, como líneas éticas y canales de denuncia, que permitan el conocimiento oportuno de conductas ilícitas, garantizando la protección del denunciante para reportes que se hacen de buena fe y evitando represalias que desincentiven el uso de estos canales.
  • Contar con procesos sólidos, documentados y consistentes de investigación interna, que permitan la identificación de los responsables individuales de las conductas, y recurriendo a asesores externos cuando la complejidad o gravedad del caso así lo amerite.
  • Tomar las medidas necesarias para preservar la evidencia relevante, que pueda posteriormente servir como un insumo tangible de cooperación ante una investigación del DOJ.
  • Adoptar medidas correctivas y preventivas una vez concluidos los procesos de investigación, especialmente cuando la implementación de nuevos controles o mejoras al programa de cumplimiento pueda evitar la reiteración de conductas similares.

El 19 de marzo de 2026, el DOJ anunció la declinación otorgada a la compañía francesa Balt SAS y su filial en Estados Unidos. En este caso, debido a que la compañía divulgo voluntariamente la conducta, cooperó plenamente con la investigación del Departamento y remedió con medidas adecuadas la irregularidad a tiempo, el Departamento declinó procesar a Balt, que aceptó pagar aproximadamente US$1,2 millones en sanciones. Relacionado a estos mismos hechos, dos personas fueron acusadas a título individual por cargos relacionados a violaciones a la FCPA —Ley de Prácticas Corruptas en el Extranjero— y lavado de activos, reafirmando la tendencia actual respecto a la responsabilidad personal en este tipo de conductas.

Desde una perspectiva de cumplimiento, la nueva CEP consolida un esquema de incentivos amplio, pero eleva de manera significativa los estándares de exigencia a las compañías. Solo aquellas empresas que investiguen y tomen decisiones de forma seria, oportuna y cooperen de manera sustantiva con el DOJ, podrán mitigar su exposición bajo la nueva CEP.

Maria Elena Lapetina, Socia, Departamento Internacional; y Angelo Márquez, Asistente Legal, Departamento Internacional | Miller & Chevalier

 

Si necesitas más información, escríbenos a contacto@compliancelatam.legal.

México | Nuevas disposiciones fortalecen la lucha contra el lavado de dinero y el control de cuentas sospechosas

México | Nuevas disposiciones fortalecen la lucha contra el lavado de dinero y el control de cuentas sospechosas

15-04-2026 | Basham, Noticias

Los desarrollos reflejan una consolidación del enfoque preventivo del sistema mexicano de PLD/FT.

En los pasados días han acontecido dos hechos de alta relevancia para el sistema de prevención de lavado de dinero y financiamiento al terrorismo en México.

Por un lado, la Suprema Corte de Justicia de la Nación resolvió la Acción de Inconstitucionalidad 58/2022, así como diversos amparos relacionados, confirmando la constitucionalidad del esquema de bloqueo de cuentas previsto en la Ley de Instituciones de Crédito.

El Pleno determinó que la facultad de la Unidad de Inteligencia Financiera (UIF) para incluir personas en la lista de bloqueados y ordenar el congelamiento de cuentas:

(I) constituye una medida cautelar de carácter administrativo,

(II) no tiene naturaleza sancionatoria ni penal,

(III) puede ejercerse con base en indicios suficientes, y

(IV) debe respetar las garantías de audiencia, defensa y acceso a medios de impugnación.

Por otro lado, el 27 de marzo de 2026 se publicó el decreto que reforma el Reglamento de la Ley de la materia, vigente a partir del 28 de marzo.

Entre los aspectos más relevantes del Reglamento destacan:

  • La incorporación de un régimen específico de Personas Políticamente Expuestas (PEPs), incluyendo mecanismos de integración y consulta de listas.
  • El fortalecimiento de las facultades de supervisión y sanción del Servicio de Administración Tributaria (SAT), así como nuevas atribuciones para la UIF.
  • Nuevas reglas sobre acumulación de operaciones y la obligación de presentar avisos de 24 horas incluso en casos de intentos de operación.
  • La incorporación de obligaciones de auditoría interna o externa y documentación de regularización.
  • La posibilidad de que la autoridad motive resoluciones acordes a información de bases de datos oficiales.

Es importante destacar que aún se encuentra pendiente la emisión de las reglas de carácter general que deberán completar la implementación del nuevo marco normativo antes de julio de 2026.

En conjunto, estos desarrollos reflejan una consolidación del enfoque preventivo del sistema mexicano de PLD/FT, fortaleciendo las herramientas de supervisión y reacción de las autoridades, al tiempo que precisan los alcances del debido proceso en el ámbito administrativo.

Si necesitas más información, escríbenos a contacto@compliancelatam.legal.

El compliance como eje articulador de la industria farmacéutica, una conversación con Maritza Córdoba y Parraguez de Adium

El compliance como eje articulador de la industria farmacéutica, una conversación con Maritza Córdoba y Parraguez de Adium

14-04-2026 | Albagli Zaliasnik, Noticias

En la actualidad, la industria farmacéutica está altamente regulada. Combinando ciencia e innovación, el sector enfrenta el desafío de cumplir con las normativas legales y ofrecer productos de calidad para mantener la confianza de sus clientes. En esta ocasión conversamos con Maritza Córdoba y Parraguez, Compliance Officer Chile-Cluster Paraguay/Bolivia y Legal Counsel Chile en Adium —compañía farmacéutica líder en Latinoamérica con más de 40 años de experiencia y crecimiento sostenido en la región—, sobre su mirada del compliance en la industria y los desafíos normativos que enfrentará en los próximos años.

Desde tu experiencia como Compliance Officer, ¿cómo describirías el papel del compliance en una compañía como Adium? ¿Actúa como un sistema de control, una guía estratégica o una cultura ética que se construye día a día?

El compliance no es solo un sistema de control; es una función estratégica que habilita el negocio dentro de un marco seguro.

En una industria altamente regulada como la farmacéutica —y con licenciantes globales—, el compliance actúa como guía, partner y cultura al mismo tiempo, asegurando que el crecimiento sea sostenible y alineado a estándares altos, pero por sobre todo, que se actúe con un propósito claro: la salud y cuidado de nuestros pacientes.

En una empresa con presencia regional como Adium, donde conviven distintos marcos regulatorios y culturas empresariales, ¿cómo se logra construir una visión de compliance que sea sólida, pero al mismo tiempo adaptable a cada país?

La clave es tener un marco común robusto basado en estándares globales, y luego adaptarlo a la realidad local.

En Adium, esto se logra combinando lineamientos corporativos claros más conocimiento regulatorio local, manteniendo consistencia sin perder flexibilidad.

En muchas organizaciones, el compliance solía percibirse como una función reactiva. Sin embargo, actualmente se habla del compliance como un socio estratégico del negocio. ¿Cómo se construye ese cambio cultural dentro de una compañía?

El cambio se construye cuando el compliance deja de decir solo “no” y empieza a decir “cómo sí”.

Primero, debemos entender el core del negocio; participar temprano en las decisiones, entender el modelo comercial y entregar soluciones prácticas genera confianza y posiciona al compliance como un verdadero partner.

En un contexto global en donde la transparencia corporativa es cada vez más valorada por la sociedad, ¿cómo puede el compliance contribuir a fortalecer la confianza entre la industria farmacéutica y los pacientes?

La confianza se construye con transparencia y coherencia.

El compliance asegura que las interacciones con profesionales de la salud, pacientes y autoridades de Gobierno se realicen bajo estándares éticos claros, lo que fortalece la credibilidad de la industria, especialmente en productos de alto impacto clínico.

La cadena de suministro farmacéutica es un sistema complejo: abarca desde la investigación y producción hasta la distribución final. ¿Cuáles crees que son hoy los principales desafíos del compliance para garantizar transparencia e integridad a lo largo de esa cadena?

Los principales desafíos son trazabilidad, integridad de la información y control de terceros. La cadena de suministro depende fuertemente de intermediarios, por lo que el proceso de due diligence, monitoreo y controles ABAC (Acceso basado en atributos) son críticos para evitar desviaciones.

La innovación es un motor fundamental en la industria farmacéutica, especialmente con el avance de terapias biotecnológicas y medicamentos de alta complejidad. Desde la mirada del compliance, ¿qué nuevos desafíos aparecen cuando la ciencia avanza más rápido que la regulación?

El mayor desafío es gestionar zonas grises. Cuando la ciencia avanza más rápido que la regulación, el compliance debe actuar con criterio, principios y estándares internacionales, anticipándose al riesgo más que reaccionando a la norma. En este tipo de situaciones, debemos recordar más que nunca nuestro propósito y objetivo: la salud de nuestros pacientes.

Tu rol combina dos responsabilidades clave: liderazgo legal y compliance en un sector altamente regulado. ¿Qué te motivó a especializarte en esta área y qué es lo que más te desafía —y al mismo tiempo, te inspira— de este trabajo?

La industria farmacéutica me apasiona profundamente, porque tiene un propósito que trasciende funciones y áreas: el cuidado y la salud de las personas. Es un motor común que conecta a todos, desde el área médica hasta la alta dirección, en torno a un mismo objetivo.

He sido testigo de cómo, ante la necesidad urgente de un paciente, los equipos se alinean sin importar el día o la hora, movilizando esfuerzos para lograr lo esencial: entregar acceso oportuno a un tratamiento. Ese compromiso genuino es lo que da sentido a cada decisión.

Me motiva ser parte de una industria donde el impacto es real y tangible en la vida de las personas. Y, al mismo tiempo, encuentro especialmente desafiante y profundamente enriquecedor lograr el equilibrio entre las exigencias regulatorias y la viabilidad del negocio, particularmente en entornos complejos y multiculturales, donde cada decisión requiere criterio, responsabilidad y propósito.

A lo largo de tu carrera, ¿hubo algún momento o experiencia que haya marcado tu forma de entender la ética corporativa o el rol del compliance dentro de las empresas?

Uno de los aprendizajes más importantes ha sido entender que el compliance no se construye desde las políticas o lineamientos, sino desde aquellas decisiones que tomamos día a día.

Cuando el negocio internaliza que hacer lo correcto es una ventaja competitiva, una señal de confianza y credibilidad, entonces el compliance deja de ser una obligación y pasa a ser parte de la cultura, parte del éxito de todos.

Para más información, escríbenos a contacto@compliancelatam.legal.

Uruguay | Avanza la regulación de activos virtuales: las 10 claves del nuevo proyecto normativo

Uruguay | Avanza la regulación de activos virtuales: las 10 claves del nuevo proyecto normativo

06-04-2026 | FERRERE, Noticias

La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria.

El 16 de marzo de 2026, la Superintendencia de Servicios Financieros (SSF) del Banco Central del Uruguay (BCU) publicó una nueva versión del proyecto normativo que reglamenta la figura del proveedor de servicios de activos virtuales (PSAV), originalmente puesto en consulta en agosto de 2025, en el marco de las modificaciones introducidas por la Ley de Presupuesto Nacional.

La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria, y establece el régimen aplicable a los PSAV en Uruguay, incluyendo requisitos de autorización, obligaciones de conducta y estándares operativos.

A continuación, destacamos los 10 aspectos más relevantes del régimen propuesto:

  1. Proveedores regulados

Se consideran PSAV las personas jurídicas que, en forma habitual y profesional, presten uno o más de los siguientes servicios:

  • Intercambio entre activos virtuales y monedas fiduciarias;
  • Intercambio entre uno o más activos virtuales;
  • Transferencia de activos virtuales;
  • Custodia, administración u otros medios que permitan el control sobre activos virtuales; y
  • Participación y provisión de servicios financieros relacionados con la oferta o venta de activos virtuales por parte de un emisor (por ejemplo, a través de plataformas o aplicaciones móviles).

Estas actividades también quedan comprendidas cuando se realicen a través de protocolos que permitan su ejecución directa entre usuarios mediante contratos inteligentes. En cambio, el desarrollo de un programa informático, por sí solo, no se considera actividad regulada si no implica prestar el servicio.

  1. Autorización y forma jurídica

Los PSAV deberán obtener autorización previa de la SSF para operar y deberán indicar las actividades que desarrollarán.

Podrán constituirse como sociedades comerciales bajo los tipos previstos en la normativa uruguaya o como sucursales de entidades extranjeras. Como parte del proceso de autorización, deberán presentar información sobre su estructura, accionistas, gobierno corporativo, operativa y sistemas.

  1. Principios de actuación y límites operativos

Los PSAV deberán actuar con lealtad y ética comercial, ajustarse a buenas prácticas y formalizar su relación con los clientes mediante contratos en los casos previstos por la normativa.

No podrán realizar actividades que impliquen intermediación financiera ni disponer o utilizar los activos virtuales de sus clientes sin autorización expresa.

  1. Principales obligaciones regulatorias

El proyecto establece un conjunto de obligaciones que incluye, entre otros:

a. Protección al cliente

  • Brindar información clara y suficiente;
  • Celebrar contratos cuando corresponda;
  • Contar con mecanismos de atención de reclamos;
  • Advertir sobre los riesgos.

b. Prevención de lavado de activos (PLAFT)

  • Implementar sistemas de debida diligencia y conocimiento del cliente;
  • Identificar beneficiarios finales;
  • Designar un oficial de cumplimiento;
  • Reportar operaciones sospechosas.

Además, para las transferencias de activos virtuales se establecen requisitos de identificación del ordenante y beneficiario, en línea con estándares internacionales en la materia, incluyendo los desarrollados por el Grupo de Acción Financiera Internacional (GAFI).

c. Seguridad tecnológica y continuidad operativa

  • Contar con sistemas informáticos adecuados en términos de seguridad;
  • Implementar políticas de seguridad de la información;
  • Designar un responsable de seguridad;
  • Realizar auditorías anuales y contar con planes de continuidad.

d. Gobierno corporativo

  • Definir una estructura organizativa clara;
  • Implementar sistemas de control interno;
  • Asegurar la idoneidad del personal superior;
  • Adoptar códigos de ética.

e. Requerimientos prudenciales y garantías

Para los PSAV que presten servicios de custodia o administración de activos virtuales, se exige la integración de un patrimonio mínimo de UI 1.000.000 (Unidades Indexadas). Asimismo, todos los PSAV deberán constituir una garantía a favor del BCU por un monto no inferior a UI 600.000 y un depósito a la vista en el BCU por un monto no inferior a UI 50.000.

f. Información y contabilidad

  • Presentar información contable y de gestión con periodicidad anual;
  • Realizar auditorías externas;
  • Comunicar hechos relevantes al regulador.
  1. Separación de fondos y activos

Los PSAV deberán mantener separados los fondos propios de los fondos de clientes, así como los activos virtuales propios de los de clientes. Dicha separación deberá quedar asentada de forma clara, individualizada y mantenerse actualizada en los registros del PSAV, de manera que los activos virtuales de clientes no integren la masa activa del PSAV en caso de concurso o liquidación.

Además, los fondos de clientes no podrán permanecer en su poder por más de 48 horas, salvo que existan instrucciones específicas que justifiquen un plazo mayor.

  1. Tercerización de servicios

El proyecto permite la tercerización de servicios sujeta a comunicación previa a la SSF. En estos casos, los PSAV deberán celebrar contratos con requisitos mínimos, evaluar y monitorear los riesgos asociados y mantener la responsabilidad por los servicios prestados.

No se admite la tercerización de la aceptación de clientes.

  1. Uso de corresponsales financieros

Se habilita la prestación de servicios a través de corresponsales financieros o administradores de corresponsales, estableciéndose requisitos para su contratación y obligaciones de control por parte del PSAV.

Las operaciones realizadas a través de terminales automatizadas estarán sujetas a un importe diario máximo por cliente de US$ 1.000, o su equivalente en otras monedas.

  1. Información al cliente

Cuando el PSAV participe en la oferta o venta de activos virtuales, deberá poner a disposición de los clientes un white paper con información detallada sobre el activo virtual ofrecido. El proyecto admite que dicho documento pueda estar disponible en español o en inglés.

A su vez, esta versión del proyecto eliminó la exigencia de que la declaración del cliente sobre el conocimiento de los riesgos asociados a la operativa con activos virtuales sea recabada en forma previa a cada operación.

  1. Régimen sancionatorio

El proyecto prevé un régimen sancionatorio que incluye observaciones, apercibimientos, multas, suspensión o cancelación de la autorización, según la gravedad del incumplimiento.

  1. Plazos de adecuación

Los PSAV que se encuentren en actividad a la fecha de entrada en vigencia de la norma dispondrán hasta el 31 de diciembre de 2026 para presentar la solicitud de autorización, pudiendo continuar operando mientras se procesa la solicitud.

El plazo general para adecuarse a las distintas disposiciones se extiende hasta el 30 de junio de 2027, con plazos específicos adicionales para determinados aspectos operativos.

El proyecto se encuentra actualmente en etapa de segunda consulta pública. El plazo para remitir comentarios vence el 13 de abril de 2026.

Si quieres más información, escríbenos a contacto@compliancelatam.legal.