26-05-2026 | Albagli Zaliasnik, Noticias
El gremio manifestó que ” los próximos seis meses son decisivos para preparar al país, a las instituciones públicas, a las empresas y a la ciudadanía” al nuevo estándar regulatorio.
La Asociación de Profesionales en Protección de Datos Personales de Chile (AGPD) emplazó al Poder Ejecutivo y al Senado a avanzar en la designación del consejo directivo de la futura Agencia de Protección de Datos Personales, luego que la Cámara Alta rechazara la terna propuesta por el Presidente José Antonio Kast.
A través de una declaración pública, la asociación gremial expresó su preocupación y llamó a las autoridades a encontrar “una salida institucional que permita dar continuidad al proceso de instalación de la Agencia”, dada la importancia del proyecto en la materia.
“La nueva Ley de Protección de Datos Personales entra en vigencia el 1 de diciembre de este año, y su adecuada implementación requiere avanzar oportunamente en las acciones preparatorias previstas”, señaló el gremio en el comunicado.
“Los próximos seis meses son decisivos para preparar al país, a las instituciones públicas, a las empresas y a la ciudadanía frente a este nuevo estándar regulatorio”, agregó la asociación.
En ese sentido, la AGPD reiteró su disposición a contribuir técnica y colaborativamente en el proceso.
Pueden revisar el comunicado de la AGPD a continuación:
Si tienes dudas, escríbenos a contacto@compliancelatam.legal.
18-05-2026 | Albagli Zaliasnik, Noticias
La industria de medios de pago vive un proceso de transformación acelerada, impulsada por la digitalización, la innovación tecnológica y un entorno regulatorio cada vez más exigente. En este contexto, el rol de las áreas legales y de compliance se ha vuelto estratégico, acompañando el crecimiento del negocio, la gestión de riesgos y la construcción de confianza con clientes, reguladores y el mercado.
Conversamos con Ángeles Purcell, Senior Director Legal de Bci Pagos, una joint venture entre Banco Bci y Global Payments, sobre su trayectoria profesional, los principales desafíos legales y de cumplimiento en la industria de pagos y la evolución del compliance como un habilitador clave en organizaciones financieras y tecnológicas.
¿Cómo ha sido tu trayectoria profesional y cómo llegaste a desempeñar el rol de Senior Director Legal en Bci Pagos?
Inicié mi carrera profesional en Barros & Errázuriz, en el grupo de M&A (fusiones y adquisiciones) y Financiamiento. Ahí aporté de manera transversal a dos clientes, entre otras asesorías, ya que no contaban con un abogado interno en esas compañías. Eso implicaba que yo era el punto de contacto para todo tipo de solicitudes legales, desde gobierno corporativo, laboral, ambiental, libre competencia, entre otros; lo que me permitió tener una visión transversal del soporte que las sociedades anónimas abiertas requieren y empezar a vislumbrar la importancia de tener una mirada amplia de todas las problemáticas que una compañía puede enfrentar.
Luego, profundicé mis estudios en Boston University School of Law, cursando un LLM en International Business Law. Esto me permitió comprender desde otra perspectiva el Derecho, ahora con una mirada internacional, ampliando las capacidades y la posibilidad de determinar cuáles son las distintas maneras en las que un conflicto se puede resolver.
Después ingresé a un estudio pequeño, en donde estuve tres años. Mi principal foco era formalizar a startups para que pudieran iniciar la fase de rondas de financiamiento y estuvieran preparadas para los procesos de due diligence internos que estas transacciones requieren. Estas asesorías reforzaron el concepto de revisión integral que se debe hacer de una compañía y de lo que los inversionistas tienen en cuenta al momento de invertir en este tipo de negocios que, si bien tienen un riesgo adicional por el tipo de negocio en sí, el hecho de que su gobernanza y procesos estén ordenados les permite obtener una ventaja al momento de hacer rondas de financiamiento.
Luego de tres años tuve mi primer rol de abogada interna en una sociedad que tenía como filial a una administradora de fondos públicos y otra privada. Fue en este rol en donde me acerqué de manera más concreta al área de compliance y a lo que se debe hacer en base al cumplimiento regulatorio y lo necesario para implementarlo de manera adecuada.
Por último, desde hace casi cuatros años soy directora Legal de Bci Pagos. En este rol me ha tocado implementar el modelo de prevención de delitos, la Ley Karin, la Instrucción de Carácter General N°5 y ahora estamos empezando con la nueva Ley de Datos Personales. Todos estos cambios normativos tienen un impacto en la forma en la que se desempeña día a día la asesoría legal y en el rol que juega, ya que no basta con solo tener políticas.
¿Cómo ha evolucionado el rol del área legal en empresas de medios de pago y servicios financieros en los últimos años?
Ha evolucionado de manera sustancial, teniendo en cuenta la cantidad de regulación que se está implementando en estos mercados y la normativa relativa a ciberseguridad, datos personales y prevención del delito, que implican tener matrices de riesgo complejas y que no solo consideran los riesgos inherentes del negocio, sino que también el riesgo reputacional que implica. Este es un concepto nuevo y que cobra una importancia crucial en el desarrollo de los negocios, tanto en los medios de pago como en el ámbito financiero. Esto implica en la práctica que ya no es suficiente con el hecho de ser innovadores ni disruptivos, sino que ello debe ser hecho lejos de los riesgos, particularmente los reputacionales.
Desde tu experiencia, ¿cuáles son hoy los principales desafíos legales y regulatorios que enfrenta la industria de pagos?
La enorme cantidad de regulación que se debe implementar, los controles y la realidad que cada una de las entidades tiene que enfrentar varían tanto respecto del tipo societario como del tipo de sociedad matriz que se tenga.
¿Qué rol cumple el compliance como habilitador estratégico del negocio en una compañía de medios de pago?
Le otorga certeza a los distintos actores de la compañía de que los servicios que se prestan y quienes están contratándolos son los adecuados y que no van a generar riesgos posteriores que pudieran ser mucho más difíciles de enfrentar. En consecuencia, un compliance adecuado evita problemas a futuro que pueden ser muchísimo más costosos para la compañía, incluso haciéndola penalmente responsable y exponiéndola a su cierre eventualmente.
¿Cuáles dirías que son los pilares fundamentales de un programa de compliance efectivo en este sector?
A mi juicio, los pilares fundamentales de un programa de compliance efectivo son los siguientes:
- Entendimiento real de los riesgos a los cuales como empresa estamos expuestos.
- Capacitaciones continuas a todo el equipo de manera de generar cultura interna de cumplimiento.
- Entendimiento desde el directorio hasta el último de los trabajadores de que tener un programa adecuado no es un inhibidor de negocios, sino que fija un estándar superior que permite dar garantía de la forma en la que prestamos nuestros servicios de pago.
Si no tenemos un adecuado entendimiento de los riesgos y una cultura de cumplimiento, el compliance se queda en el cajón y se limita a check lists que, si bien sirven, no son suficientes para ser un generador de negocios ni de evitar los riesgos de incumplimiento.
¿Qué importancia tiene la colaboración entre las áreas legal, compliance, tecnología y negocio para una adecuada gestión de riesgos?
La colaboración es vital. Los riesgos son siempre multifactoriales y en la diversidad de las profesiones se crea una cultura de prevención muchísimo más robusta, ya que permite analizarlo desde distintas perspectivas.
En materia de gobierno corporativo, ¿qué prácticas consideras esenciales para fortalecer la confianza de clientes, reguladores y otros stakeholders?
Considero prácticas esenciales:
- Una adecuada capacitación a todos los miembros de la compañía.
- Una cultura de cumplimiento que abarque desde el directorio y la alta administración hacia abajo.
Son estas prácticas las que demuestran la real integración del compliance como un beneficio para el desarrollo de negocios y no como un stopper.
En materia de protección de datos personales y ciberseguridad, ¿cuáles son hoy los principales focos de riesgo legal para las empresas de medios de pago?
El principal riesgo es que como personas aún no tenemos conciencia del valor de nuestros datos y del poder que ellos representan en manos de los distintos individuos del mercado. Cuántas veces hemos dejado nuestro correo electrónico o nuestro número de teléfono a cambio de un lápiz, un cuaderno o una botella. Lo que estamos entregando no es solo nuestra información, son nuestros gustos, nuestras preferencias y lo que hacemos día a día. Teniendo eso mismo presente, en el ámbito profesional es esa generación de conciencia de la importancia de la creación de cultura y de entender el valor del dato o de la seguridad y las distintas formas en las que los debemos proteger.
¿Cómo impactan temas como la protección de datos personales, ciberseguridad y prevención de fraudes en la agenda legal de la industria?
El impacto es enorme. Nos obliga a tener una mirada integral de los posibles riesgos, a tener diversas matrices de riesgo con sus respectivos controles y a supervisar temas tremendamente técnicos y complejos de explicar a los directores de una sociedad anónima abierta. Asimismo, obligan a las compañías a priorizar inversiones que, de no existir esta legislación, serían difíciles de implementar. Además, nos condicionan a generar cultura, a que todos entiendan lo que es un ciberataque o el valor de los datos de la compañía y lo que implica perder acceso a los mismos.
Mirando al futuro, ¿qué tendencias regulatorias crees que marcarán la industria de medios de pago en los próximos años?
Creo que va a haber una tendencia a la adecuación en base al tamaño de las compañías y a los tipos de negocio que existen actualmente en Chile. Si bien tenemos como referente a Europa en las normas de compliance, la complejidad de la regulación y la estricta implementación hacen que su cumplimiento sea muy desafiante. Así lo vemos en los cambios que se están proponiendo en relación con la nueva Ley de Datos Personales.
¿Cómo visualizas la evolución del rol del compliance y de las áreas legales dentro de las organizaciones financieras y tecnológicas?
El rol va a ser cada vez más relevante. Especialmente considerando la enorme cantidad de regulación adicional que se está incorporando, las multas y niveles de responsabilidad asociadas tanto para las empresas como para quienes las dirigen y administran.
15-05-2026 | Albagli Zaliasnik, Opinión
El fallo contra Meta y YouTube abre una nueva discusión sobre la responsabilidad de las plataformas digitales en el diseño de sus algoritmos. Esta columna analiza cómo esta decisión judicial se conecta con la futura regulación de la inteligencia artificial en Chile y con el avance hacia mayores exigencias de transparencia, gestión de riesgos y control sobre sistemas capaces de influir en la conducta de las personas.
Por Antonia Nudman, Asociada Senior de az Tech – Albagli Zaliasnik
El reciente fallo que declaró negligentes a Meta y a YouTube marca un punto de inflexión en la forma en que entendemos nuestra relación con las plataformas digitales. Por primera vez, un tribunal reconoce que el diseño de estos servicios, caracterizado por algoritmos de recomendación, scroll infinito y mecanismos de refuerzo conductual, no es neutral, sino que puede generar efectos nocivos, particularmente en menores de edad.
Este cambio no es aislado. Como ha ocurrido en otras industrias —como el alcohol, el tabaco o los alimentos—, la discusión comienza a desplazarse desde la responsabilidad individual del consumidor hacia la responsabilidad de quienes diseñan y operan estos sistemas. Ya no se trata únicamente de cómo usamos la tecnología, sino de cómo está concebida para influir en nuestro comportamiento.
En este contexto, resulta especialmente relevante observar el avance del proyecto de ley que regula los sistemas de inteligencia artificial en Chile. Aunque aún en tramitación, su lógica se alinea con esta nueva mirada: no basta con regular el uso de la tecnología, sino que es necesario intervenir en su diseño, imponiendo estándares de transparencia, evaluaciones de riesgo y prohibiciones respecto de ciertos usos considerados inaceptables.
En particular, los requisitos de transparencia que buscan que los usuarios comprendan cuándo interactúan con sistemas automatizados y bajo qué lógica operan, adquieren una dimensión distinta a la luz de este tipo de fallos. Si los algoritmos son capaces de influir en decisiones emocionales y conductas, entonces la opacidad deja de ser una cuestión técnica para convertirse en un problema jurídico.
Asimismo, la discusión sobre usos prohibidos de la inteligencia artificial —como aquellos que puedan manipular el comportamiento de las personas o explotar vulnerabilidades— conecta directamente con lo que hoy se cuestiona en redes sociales. La línea entre recomendación y manipulación se vuelve cada vez más difusa, y precisamente ahí es donde el derecho comienza a intervenir.
A nivel comparado, el Reglamento de Inteligencia Artificial de la Unión Europea ofrece una referencia relevante. Si bien su implementación efectiva aún es progresiva, su enfoque basado en riesgos, junto con la identificación de usos prohibidos y obligaciones reforzadas para sistemas de alto riesgo, permite anticipar hacia dónde se dirige la regulación internacional. En ese sentido, observar cómo este marco impacta a las plataformas tecnológicas en Europa será clave para proyectar sus efectos en otras jurisdicciones, incluido Chile.
De ello se sigue que el proyecto de ley chileno no solo impactará a quienes desarrollan sistemas de inteligencia artificial en sentido estricto, sino también a plataformas digitales cuyo funcionamiento descansa en sistemas algorítmicos intensivos. En otras palabras, la regulación de la IA podría terminar redefiniendo indirectamente la forma en que interactuamos con redes sociales.
Así las cosas, el fallo contra Meta y YouTube no es un caso aislado, sino parte de un cambio más profundo: el tránsito hacia un modelo de responsabilidad tecnológica, en el cual el diseño de los sistemas digitales deja de ser un espacio ajeno al derecho para convertirse en uno de sus principales focos de intervención.
Antonia Nudman, Asociada Senior de az Tech – Albagli Zaliasnik
Fuente: Revista Gerencia – abril 2026.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
12-05-2026 | Albagli Zaliasnik, Noticias
Aun cuando exista habilitación legal para tratar datos personales en investigaciones por acoso laboral, el empleador debe cumplir estrictamente con los principios de confidencialidad y seguridad.
El pasado 25 de febrero de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionatorio en contra de una empresa, luego de recibir dos reclamaciones por parte de trabajadores que indicaban que esta había revelado su identidad como denunciante y denunciado en un proceso de acoso laboral, divulgando sus nombres y apellidos.
En efecto, el origen de este conflicto se dio a raíz de una denuncia por acoso laboral que presentaron cinco trabajadores en contra de 10 denunciados, a propósito de la cual la empresa decidió abrir la respectiva investigación interna.
De este modo, el 31 de julio de 2024 dicho empleador envió un correo electrónico al Comité de Empresa informando que daba por finalizada la investigación, adjuntando la respectiva resolución a cada una de las cinco personas denunciantes y a los 10 denunciados, revelando así la identidad de cada uno de ellos y exponiendo sus nombres, apellidos y puestos de trabajo.
Por esta razón, la parte reclamante sostenía que, en definitiva, todo el centro de trabajo sabía que era una de las denunciantes y, asimismo, que conocía a todos los denunciados, siendo que ella no había autorizado que se divulgara su identidad, lo que generó que uno de los denunciados publicara en un grupo de trabajo de WhatsApp (el mismo día del conocimiento de la resolución), un emoji de beso junto con la frase: “Gracias por la denuncia”.
Por su parte, la empresa —al plantear su defensa—, sostuvo, fundamentalmente, que no era posible apreciar una infracción a la Ley de Datos Personales, ya que todos los interesados estaban al tanto de todas las identidades de los afectados desde el principio y, además, dado que la denuncia que dio origen al procedimiento interno de investigación por acoso había sido planteada ante el Comité de Empresa, sin invocarse el derecho al anonimato de los denunciantes, ni tampoco haber sido solicitado por ellos.
De esta forma, la AEPD centró el análisis no en la licitud de la investigación interna en sí misma, sino en la forma en que la empresa comunicó el cierre del procedimiento.
En particular, estimó que existían indicios suficientes de una vulneración del principio de integridad y confidencialidad, debido a que la empresa permitió que denunciantes y denunciados accedieran a la identidad de todos los intervinientes en el procedimiento, exponiendo información especialmente sensible en el contexto de una denuncia por acoso laboral.
Así, el problema jurídico del caso no radicó en la procedencia de tramitar la denuncia, sino en la falta de resguardo de la confidencialidad de quienes participaron en ella.
Sobre lo anterior, termina proponiendo —atendida la gravedad de la posible infracción y el nivel de negligencia del empleador—, la imposición de una multa administrativa, efectiva, proporcional y disuasoria ascendente a €200.000, además de la adopción de medidas correctivas, si proceden (en este caso, que la empresa adopte, en un plazo de tres meses, las medidas adecuadas para garantizar la confidencialidad de los datos personales).
Finalmente, es del caso señalar que, ante la decisión de iniciar un procedimiento sancionatorio que, adoptado por la AEPD, la empresa optó por asumir su responsabilidad, ello con el propósito de reducir la cuantía de la multa impuesta, pagando en definitiva la suma de €120.000.
Así las cosas, este caso resulta especialmente interesante como referencia comparada desde la experiencia española, más aún considerando que a partir del próximo 1 de diciembre de 2026 entrará en vigencia en nuestro país la Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, autoridad que cumplirá un rol equivalente al que actualmente ejerce la AEPD en España.
En ese contexto, se trata de un caso plenamente extrapolable a Chile, particularmente en el marco de la Ley Karin, pues aun cuando exista una habilitación legal para tratar datos personales en el curso de investigaciones por acoso laboral, ello no releva al empleador del deber de cumplir estrictamente con los principios de confidencialidad y seguridad que rigen todo tratamiento de datos.
De ello se sigue que la sola existencia de una base normativa que permita investigar no basta por sí sola, sino que también resulta indispensable contar con políticas internas claras, canales de denuncia seguros, protocolos de acceso restringido y resguardos efectivos que eviten la exposición indebida de información especialmente sensible.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
05-05-2026 | Albagli Zaliasnik, Noticias
¿Por dónde partir?
Riesgo inherente: es el riesgo “en bruto”, lo que podría pasar si una actividad se realiza sin considerar controles.
Por ejemplo: pagos, contratación de terceros, donaciones o interacción con autoridades.
El rol de los controles
Los controles buscan reducir ese riesgo inherente. Pero no basta con que existan, deben funcionar en la práctica.
Pueden ser:
- Automatizados, más efectivos.
- Manuales, más vulnerables.
El resultado: riesgo residual
Es lo que queda después de aplicar controles.
Riesgo inherente → controles → riesgo residual
Es decir, el nivel real de exposición con el que opera la empresa. Este nivel nunca es cero.
¿Por qué nunca desaparece?
Porque siempre existen:
- Errores humanos.
- Cambios regulatorios.
- Falta de información.
- Nuevos riesgos.
¿Por qué importa?
El riesgo residual permite:
- Priorizar recursos.
- Detectar brechas de control.
- Demostrar cumplimiento (con evidencia).
Importante: no se trata de eliminar el riesgo, sino de gestionarlo de forma estratégica.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
27-04-2026 | Albagli Zaliasnik, Opinión
La entrada en vigencia de la nueva Ley de Protección de Datos Personales en Chile marcará un cambio relevante en la forma en que las empresas gestionan la información. Sin embargo, más allá de los ajustes regulatorios que introduce la norma, el verdadero desafío para las organizaciones durante 2026 será otro: lograr que el cumplimiento legal y la implementación tecnológica avancen de manera coordinada.
Por Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitrán, Director del Grupo Compliance de Albagli Zaliasnik
En muchas compañías, los proyectos de cumplimiento normativo suelen abordarse principalmente desde las áreas legales o de compliance. Esto es comprensible: son estas áreas las que interpretan la normativa, definen obligaciones y elaboran políticas internas. Sin embargo, en materia de protección de datos, ese enfoque resulta incompleto si no se articula de forma estrecha con las áreas tecnológicas.
La razón es simple. Mientras el área legal define qué exige la ley —por ejemplo, principios de tratamiento, bases de licitud, deberes de información o medidas de seguridad—, son las áreas de tecnología las que deben traducir esas exigencias en prácticas concretas dentro de los sistemas, plataformas y procesos de la organización. En otras palabras, el cumplimiento jurídico requiere necesariamente una implementación técnica para hacerse efectivo.
Esto se vuelve particularmente evidente en aspectos como la gestión de accesos a bases de datos, la trazabilidad de los tratamientos, la implementación de medidas de seguridad, la gestión de incidentes o la eliminación segura de información. Todos estos elementos forman parte del cumplimiento normativo, pero su ejecución depende en gran medida de la arquitectura tecnológica de la empresa.
Por ello, uno de los principales desafíos para las organizaciones en este nuevo escenario será construir puentes entre ambos mundos. El cumplimiento en protección de datos no puede ser únicamente un ejercicio documental ni tampoco exclusivamente tecnológico: requiere una coordinación permanente entre quienes interpretan la norma y quienes diseñan e implementan los sistemas.
En este contexto, el rol del asesor también evoluciona. Ya no basta con entregar una interpretación jurídica de la ley o con elaborar políticas y documentos de cumplimiento. La implementación efectiva exige abordar el proceso desde ambas dimensiones: la normativa y la técnica. En ese sentido, el asesor debe contar con una sólida mirada legal y, deseablemente, también con conocimientos en seguridad de la información que le permitan dialogar con los equipos tecnológicos de la organización. Solo así es posible acompañar adecuadamente el proceso de implementación, abordándolo tanto desde la lógica normativa (la teoría) como desde la realidad operativa de los sistemas (la práctica).
Precisamente por lo anterior, es cada vez más común que los equipos de asesoría externa incorporen perfiles interdisciplinarios, sumando ingenieros o especialistas en seguridad de la información que permitan abordar la implementación desde una perspectiva integral y faciliten la coordinación entre las áreas legales y tecnológicas de las organizaciones.
En definitiva, la nueva regulación plantea un desafío que es tanto organizacional como técnico. Aquellas empresas que logren integrar adecuadamente el trabajo de sus áreas legales y tecnológicas no solo estarán mejor preparadas para cumplir con la ley, sino también para gestionar de manera responsable uno de los recursos más sensibles de la economía digital: la información personal de las personas.
Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitran, Director del Grupo Compliance en Albagli Zaliasnik
Fuente: Revista Gerencia – marzo 2026.
Si tienes consultas, escríbenos a contacto@compliancelatam.legal.com.
