Foro Compliance Latam
Camilo Zambrano, Gerente Contralor en TVN | Fue una conversación donde se ponderó un ingreso relevante versus nuestro rol público y la coherencia ética

Camilo Zambrano, Gerente Contralor en TVN | Fue una conversación donde se ponderó un ingreso relevante versus nuestro rol público y la coherencia ética

09-10-2025 | Albagli Zaliasnik, Noticias

Conversamos con Camilo Zambrano, profesional con una sólida trayectoria que comenzó en la auditoría externa y que, a lo largo de los años, ha evolucionado hacia el ámbito del cumplimiento normativo con una mirada integral de procesos, riesgos y cultura organizacional.

1.¿Podrías compartir con nosotros un resumen de su trayectoria profesional y cómo ha evolucionado su experiencia en materias de compliance? 

Mis inicios son del mundo de la auditoría externa, con un fuerte foco financiero y de entender los negocios, para identificar procesos y controles claves. Mi transición a compliance fue una evolución natural. Hace 7 años, cuando comencé como Contralor en una empresa productiva, identifiqué una brecha en la gestión de la ley de delitos económicos. Por iniciativa propia, investigué el tema y le propuse al Directorio un plan para abordarlo, y pude liderar su implementación. Mi fortaleza es esa mirada de procesos y riesgos, que me permite entender el compliance dentro del modelo de negocio y bajarlo a lo operativo. Conscientemente, complemento mi perfil apoyándome siempre en expertos legales, porque entiendo que es un campo multidisciplinario y colaborativo.

2.¿Cuáles considera que son los principales desafíos en materia de compliance dentro de un medio de comunicación?

Llevo un año y medio en TVN y he confirmado que existe un compromiso real desde el Directorio hacia abajo, lo que es la base de todo. A mi juicio, el principal desafío no es técnico, sino cultural y comunicacional: debemos “traducir” el compliance. En un canal de televisión, hablas con periodistas, creativos y productores. El desafío es hacer que conceptos legales complejos resuenen con ellos de manera simple y relevante para su día a día. Ya hemos hecho el trabajo técnico de mapear riesgos y controles, ahora nuestro foco es pasar del documento a la conversación, a través de capacitaciones y comunicación constante que realmente genere conciencia.

3. En un entorno donde los medios enfrentan crecientes demandas de transparencia y rendición de cuentas, ¿cómo se asegura TVN de que sus políticas y procedimientos internos respondan adecuadamente a estos requerimientos?

Para un medio como TVN, nuestro activo más valioso es la confianza pública, y por ende, el riesgo reputacional es el más relevante en términos de impacto. La transparencia no es para nosotros solo una obligación legal, es la principal herramienta para gestionar ese riesgo. Por nuestro carácter de empresa creada por el Estado, operamos bajo un estándar de transparencia muy superior al de la industria, materializado en tres pilares:

  • Cumplimiento Ley de Transparencia: Somos evaluados anualmente por el Consejo para la Transparencia y el Sistema de Empresas Públicas.
  • Rendición de cuentas institucional: El Directorio rinde cuenta anualmente de la situación financiera, línea programática y otras materias de interés al Congreso de la República.
  • Transparencia a la ciudadanía: Nuestra web corporativa es un libro abierto, publicando mensualmente desde estados financieros hasta las remuneraciones de ejecutivos y la estructura organizacional. Somos transparentes por diseño ( tvn.cl/corporativo/tvn-transparente ).

4.En cuanto a prevención de riesgos, ¿qué controles y mecanismos ha implementado TVN para mitigar posibles riesgos legales y de cumplimiento?

Nuestro enfoque de prevención se basa en un ecosistema de controles, más que en una lista. Si bien tenemos mapeados todos los controles técnicos para mitigar delitos económicos, yo destacaría dos niveles:

  • La Primera Línea de Defensa: Las personas, somos nosotros, ahí entonces el control más efectivo es la capacitación. Este año, en alianza con Albagli Zaliasnik, realizamos charlas presenciales donde logramos una muy buena cobertura de asistencia. Un trabajador consciente y capacitado es nuestro mejor control preventivo.
  • La Estructura de Soporte: Esto se apoya en los controles transversales que son pilares de apoyo, tales como: un Código de Conducta vivo, políticas robustas de compras, due diligence a proveedores y clientes, declaraciones de intereses, declaración de reuniones con funcionarios públicos y, fundamentalmente, un canal de denuncias anónimo, accesible y en el cual las personas confían y conocen cómo

5.¿Qué rol juega la cultura ética organizacional en el fortalecimiento del cumplimiento dentro de TVN, y qué estrategias se han utilizado para fomentar una cultura de integridad y responsabilidad?

Coincido con la frase “La cultura se come a la estrategia en el desayuno”, y en compliance pasa lo mismo. Un programa, por perfecto que sea en el papel, no sirve de nada sin una cultura que lo respalde. En TVN, esa cultura se fomenta con el “tono desde la alta dirección”: el compromiso del Directorio y la Administración es visible y constante. Hay una conversación permanente que nos permite mejorar nuestros procesos.

Pero la prueba de fuego de la cultura son las decisiones difíciles. El mejor ejemplo es que TVN tomó la decisión estratégica de no aceptar publicidad de casas de apuestas online. Fue una conversación donde se ponderó un ingreso relevante versus nuestro rol público y la coherencia ética. Esa decisión, que nos diferencia de toda la industria, es la demostración más concreta y poderosa de que aquí la cultura de integridad no es un discurso, es una acción concreta.

6.La evolución tecnológica y la digitalización de los medios presentan nuevos riesgos. ¿Cómo ha adaptado TVN su sistema de compliance frente a estos cambios?

 Más que adaptar, nuestro enfoque es anticipar los riesgos que trae la digitalización. Hoy, el gran tema es la Inteligencia Artificial. No solo lo vemos desde la perspectiva de la propiedad intelectual en la creación de contenidos, sino también desde los riesgos éticos y reputacionales: el uso de deepfakes, la desinformación, y la protección de datos. Para abordarlo, estamos fomentando conversaciones internas entre las áreas de legal, de tecnología y de contenidos, para establecer lineamientos que nos permitan innovar de manera responsable, sin comprometer nuestra credibilidad.

7.Finalmente, ¿cuál es su visión sobre el futuro del compliance en los medios de comunicación, y qué pasos considera fundamentales para consolidarlo como un valor estratégico?

Mi visión es que el compliance en medios debe trascender la idea de ser solo un “seguro” contra multas. Debe consolidarse como una ventaja competitiva estratégica. La industria está avanzando, pero el desafío es pasar del “compliance de papel” al “compliance que genera valor”.

¿Cómo? Cuando un programa de compliance robusto protege el activo más importante de un medio de comunicación que es su reputación, permite atraer mejor talento, genera más confianza en la audiencia y habilita la sostenibilidad del negocio a largo plazo. El paso fundamental es que el oficial de cumplimiento esté en la mesa estratégica y provoque las conversaciones difíciles, como la que tuvimos sobre las casas de apuestas. Cuando el compliance ayuda a tomar esas decisiones valientes, deja de ser un costo y se convierte en un pilar del negocio.

Camilo Zambrano, Gerente Contralor en TVN 

Chile | Ley Marco de Ciberseguridad | ANCI publica nómina preliminar de Operadores de Importancia Vital

Chile | Ley Marco de Ciberseguridad | ANCI publica nómina preliminar de Operadores de Importancia Vital

17-09-2025 | Albagli Zaliasnik, Noticias

La Agencia Nacional de Ciberseguridad inició una consulta pública sobre Operadores de Importancia Vital, disponible entre el 16 de septiembre y el 16 de octubre.

La Agencia Nacional de Ciberseguridad de Chile (ANCI) ha publicado la Resolución Exenta N.º 50, mediante la cual se aprueba la nómina preliminar de Operadores de Importancia Vital (OIV), en el contexto del primer proceso de calificación establecido por la Ley N.º 21.663, conocida como la Ley Marco de Ciberseguridad.

El proceso de calificación abarca organismos de la Administración del Estado, empresas públicas, empresas del Estado y empresas privadas que proveen servicios esenciales en sectores como:

  • Generación, transmisión o distribución eléctrica: 307 organizaciones.
  • Telecomunicaciones: 52 instituciones.
  • Infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros: 748 empresas.
  • Banca, servicios financieros y medios de pago: 111 instituciones.
  • Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos: 326 prestadores.
  • Empresas públicas creadas por ley: 21 empresas.
  • Organismos de la Administración del Estado: 147.

El objetivo de esta resolución es dar inicio a un proceso de consulta pública, permitiendo que las instituciones públicas y privadas incluidas en la lista preliminar puedan presentar observaciones, así como acompañar todos los antecedentes y documentos que estimen pertinentes, ya sea para objetar su precalificación, o bien, solicitar que sean calificadas.

La consulta estará disponible desde el 16 de septiembre y por un plazo de 30 días corridos, a través del portal oficial de la ANCI. Durante este período, las entidades preliminarmente calificadas deberán presentar sus observaciones por escrito, con los fundamentos correspondientes y en relación con el proceso de calificación como Operadores de Importancia Vital.

Puede encontrar la resolución completa aquí

Para más información, puedes escribirnos a contacto@compliancelatam.legal

 

Chile | Nuevo hito en Ciberseguridad: se aprobó el Plan de Acción 2023-2028

Chile | Nuevo hito en Ciberseguridad: se aprobó el Plan de Acción 2023-2028

03-09-2025 | Albagli Zaliasnik

El nuevo Plan de Acción de la Política Nacional de Ciberseguridad contempla 15 medidas estratégicas para fortalecer la protección digital de Chile.

El miércoles 06 de agosto se publicó en el Diario Oficial la Resolución Exenta N° 28 del Ministerio de Seguridad Pública que implementa el acuerdo del Comité Interministerial sobre Ciberseguridad. Con esta medida, se aprobó el Plan de Acción de la Política Nacional de Ciberseguridad 2023-2028.

Es importante recordar que el Comité Interministerial sobre Ciberseguridad tiene por objetivo asesorar al Presidente de la República en materias relevantes para el funcionamiento del país. Además, en el ejercicio de sus funciones, el comité deberá coordinar la implementación de la Política Nacional de Ciberseguridad.

De esta manera, la iniciativa incorpora los siguientes aspectos definidos por el comité:

  • Se analizaron 76 medidas, de las cuales 15 fueron seleccionadas para ser incorporadas en el Plan de Acción, en base al criterio de viabilidad de su implementación.
  • Cada medida identifica al responsable de implementarla y una evaluación en cuanto a su aplicabilidad en los 4 ejes transversales de la Política Nacional.
  • Destacan las medidas de Generación de Guías e Instructivos de apoyo a los Organismos de la Administración del Estado; Informe de diagnóstico de I+D+i sobre ciberseguridad; Norma Técnica Ciberseguridad Sector Eléctrico; nuevos programas educacionales, difusión y becas estudiantiles; y elaboración de una Metodología de evaluación de riesgos de ciberseguridad.

Las 15 medidas consideradas son las siguientes:

  1. Generación de Guías e Instructivos de apoyo a los Organismos de la Administración del Estado (OAEs).
  2. Informe de diagnóstico de I+D+i sobre ciberseguridad.
  3. Focalización de becas en materias de ciberseguridad.
  4. Norma Técnica Ciberseguridad Sector Eléctrico.
  5. Metodología de evaluación de riesgos de ciberseguridad.
  6. Fomentar ejercicios de ciberseguridad en alianza con instituciones públicas y privadas.
  7. Elaboración de Manual de protocolos de comunicación ante incidentes de ciberseguridad.
  8. Agenda compartida de compromisos internacionales en ciberseguridad.
  9. Generación de reporte anual nacional de ciberseguridad.
  10. Ferias estudiantiles de ciberseguridad.
  11. Propuesta de nueva carrera o especialidad técnica de nivel medio en ciberseguridad para EMTP.
  12. Desarrollo de documento sobre líneas de investigación en ciberseguridad.
  13. Ampliación del programa Plan Nacional de Tutorías a materias de educación digital.
  14. Actualización de la Política de Ciberdefensa 2024-2028.
  15. Exigencias de ciberseguridad en concursos públicos de espectro radioeléctrico.

Por medio de esta publicación, la Agencia Nacional de Ciberseguridad marca un paso decisivo en la implementación de la Política Nacional de Ciberseguridad 2023-2028, consolidando el compromiso del Estado y las organizaciones públicas y privadas en el fortalecimiento de sus capacidades en esta materia.

Puedes revisar la Resolución Exenta N° 28 completa aquí: 

Para mas información puedes contactarnos a contacto@compliancelatam.legal

Chile | CMF emitió nueva norma sobre autenticación reforzada en medios de pago

Chile | CMF emitió nueva norma sobre autenticación reforzada en medios de pago

25-06-2025 | Albagli Zaliasnik

La nueva norma entrará en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.

La Comisión para el Mercado Financiero (CMF) emitió la Norma de Carácter General N° 538 que establece los estándares mínimos de seguridad, registro y autenticación que deberán cumplir bancos, emisores de tarjetas, cooperativas de ahorro y crédito y otras entidades supervisadas.

Esto en relación con las operaciones sujetas a la Ley N°20.009 sobre responsabilidad por operaciones no reconocidas con medios de pago.

Dentro de los principales puntos a destacar de esta norma, se encuentran:

  • Se introduce la obligación de implementar autenticación reforzada de cliente (ARC) en operaciones clave, como transferencias electrónicas de fondos y modificaciones de datos personales.
  • La ARC deberá basarse en al menos dos factores independientes de autenticación (conocimiento, posesión e inherencia).
  • Se exige a los emisores asegurar la confidencialidad, integridad y trazabilidad de las transacciones.
  • La CMF podrá fiscalizar y sancionar el incumplimiento de estos estándares.

Es importante mencionar que la norma entra en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.

De este modo, esta norma marca un hito importante en la protección del usuario financiero frente a fraudes, reforzando las medidas de ciberseguridad y trazabilidad exigidas a los emisores.

El llamado a estas entidades es a prepararse, ya que será clave revisar políticas internas, sistemas tecnológicos y protocolos de autenticación en miras al cumplimiento normativo.

Puedes revisar el texto completo aquí.

https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

Chile | ¿Son legales los grupos de WhatsApp laborales? Una advertencia útil ante la nueva ley de datos personales en Chile

Chile | ¿Son legales los grupos de WhatsApp laborales? Una advertencia útil ante la nueva ley de datos personales en Chile

11-06-2025 | Albagli Zaliasnik, Noticias

El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo

Con la entrada en vigencia, a partir del 01 de diciembre de 2026, de la nueva Ley sobre Datos Personales en Chile, muchas empresas están revisando sus prácticas cotidianas.

En esta oportunidad queremos centrar nuestra mirada en el ámbito laboral, por los efectos que ello conllevará para las organizaciones y el ejercicio de las legítimas facultades del empleador.

Así, una situación que puede pasar desapercibida, pero que requiere de análisis, es el uso de grupos de WhatsApp entre trabajadores. ¿Es legal? ¿Qué pasa si se usa el número personal del trabajador sin su consentimiento? Un reciente caso en Europa entrega respuestas útiles, y que pueden ser aplicables a nuestro ordenamiento, dado los principios y estándares consagrados en la nueva ley.

La Agencia Española de Protección de Datos (AEPD) sancionó con 42.000 euros a una empresa por agregar el número personal de una trabajadora a un grupo de WhatsApp corporativo sin contar con su consentimiento.

La compañía alegó que lo hacía para fines laborales y que incluso había adoptado buenas prácticas (como el uso de móviles corporativos con medidas de seguridad), pero esto no fue suficiente. La sanción fue impuesta en el marco del Expediente N.º EXP202310848, recientemente publicado por la AEPD.

Lo anterior, a pesar de que en una primera instancia se había declarado inadmisible la reclamación, bajo la conclusión preliminar de que el actuar de la empresa habría sido conforme a derecho, acogiendo sus argumentos de defensa que: “la práctica de la empresa hasta la fecha en esta materia ha sido prudente y garantista toda vez que los grupos de WhatsApp solo incluyen empleados de la empresa”.

Continúa mencionando que no se agregó “a ningún tercero y que los datos personales de los miembros que son objeto de tratamiento necesario se refieren exclusivamente al nombre y apellidos de los miembros y a su número móvil, así como a su intervención en determinadas tareas y proyectos de la empresa, es decir, a los mínimos indispensables”.

Frente a ello, la reclamante interpuso un recurso cuya resolución es clara: no basta con que el tratamiento de datos tenga un fin útil o práctico para la empresa. Para que sea lícito, debe apoyarse en una base jurídica válida (como el consentimiento o la ejecución de un contrato), lo que no se cumplía en este caso.

Es importante mencionar que el uso del número personal no puede forzarse, ni siquiera si se justifica por razones operativas o por falta de equipos, según queda de manifiesto en el Fundamento de Derecho V de la resolución:

A este respecto, cabe señalar que la infracción afecta a un principio básico del tratamiento de datos personales, como es el que dicho tratamiento cuente con una base de legitimación. En el presente caso consta, asimismo que, a pesar de que la reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese objetivo”.

Esta sanción anticipa un debate que será central bajo la futura legislación chilena: el respeto al principio de licitud en entornos laborales. La nueva ley exigirá que las empresas puedan justificar, documentar y limitar adecuadamente cada tratamiento de datos personales. El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo.

¿Qué deben hacer las empresas en Chile respecto a la protección de datos personales en el ámbito laboral?

  • Evitar usar números personales de trabajadores sin consentimiento claro y documentado.
  • Implementar protocolos escritos sobre herramientas de comunicación interna.
  • Entregar equipos corporativos cuando se requiera comunicación constante por mensajería.
  • Evaluar los riesgos asociados a estos tratamientos, especialmente en términos de privacidad y seguridad.

El caso mencionado deja una lección clave para las empresas chilenas: la gestión de datos personales en el entorno laboral debe planificarse con el mismo rigor que cualquier otro proceso corporativo.

En un escenario donde WhatsApp se ha convertido en una herramienta laboral de facto, la nueva legislación chilena exigirá pasar de la informalidad al cumplimiento. La clave estará en documentar las decisiones, minimizar los riesgos y la implementación anticipada de buenas prácticas.

Para más información sobre estos temas pueden consultar a:

Jorge Arredondo | Socio en Albagli Zaliasnik  | jarredondo@az.cl

Yoab Bitran | Director Grupo Compliance en Albagli Zaliasnik | ybitran@az.cl

Antonia Nudman | Asociada Senior Grupo IP, Tech and Data, en Albagli Zaliasnik | anudman@az.cl

Chile | Nuevo reglamento de Seguridad Privada | ¿Qué implicancias tiene en materia de datos personales para mi empresa?

Chile | Nuevo reglamento de Seguridad Privada | ¿Qué implicancias tiene en materia de datos personales para mi empresa?

09-06-2025 | Albagli Zaliasnik

La nueva norma obliga al personal de seguridad aprobar un curso de formación que tendrá una asignatura sobre privacidad y uso de datos personales.

El pasado 27 de mayo se publicó en el Diario Oficial el nuevo Reglamento de Seguridad Privada, dictado en el marco de la Ley N° 21.659, que establece el nuevo marco legal para la seguridad privada en el país.

Es importante mencionar que la regulación introduce una serie de disposiciones relevantes en materia de tratamiento de datos personales por parte de las entidades sometidas a su regulación.

Uno de los aspectos más destacados es la obligación de estas entidades de colaborar con las fuerzas de orden y el Ministerio Público mediante la transmisión de datos personales y placas patentes de vehículos que ingresen a sus recintos, siempre que medie una solicitud expresa de dichas autoridades.

Esta transmisión deberá realizarse utilizando sistemas interoperables de verificación que aseguren la trazabilidad y eficacia en el acceso a la información.

A su vez, a propósito de esta obligación, pero con un alcance general, el reglamento establece expresamente que:

El tratamiento de datos de carácter personal y los sistemas, automatizados o no, creados para el cumplimiento de este reglamento se someterán a lo dispuesto en la normativa de protección de datos personales”.

Esto implica, entre otros deberes, la implementación de medidas que garanticen la confidencialidad, integridad y disponibilidad de los datos, así como el respeto de los principios de finalidad, proporcionalidad y minimización.

De este modo, el reglamento articula de manera explícita la función de resguardo de la seguridad privada con la obligación de proteger los derechos fundamentales de las personas cuyos datos son recolectados y tratados, en conformidad con la normativa vigente.

Adicionalmente, impone una nueva exigencia en materia de formación, dando cuenta la importancia de la concientización en temas de privacidad.

De esta forma, tanto los vigilantes privados como los guardias de seguridad, porteros, nocheros, rondines u otros de similar carácter deberán aprobar un curso de formación que, entre sus contenidos obligatorios, incluye una asignatura sobre privacidad y uso de datos personales.

Esta capacitación tendrá por objeto entregar conocimientos sobre principios, conceptos y normas aplicables a los datos personales y sensibles, con especial énfasis en su adecuada protección.

La asignatura deberá ser impartida por licenciados en ciencias jurídicas y sociales o abogados, o bien por profesionales del área informática que posean un título profesional de educación superior de una carrera de al menos ocho semestres de duración.