Foro Compliance Latam
Gestión Legal y de Compliance en Latinoamérica: cómo aportar valor en una operación compleja y multinacional, una conversación con Jorge Gavilán de Sodexo

Gestión Legal y de Compliance en Latinoamérica: cómo aportar valor en una operación compleja y multinacional, una conversación con Jorge Gavilán de Sodexo

05-03-2026 | Albagli Zaliasnik, Chile, Opinión

En un contexto regional marcado por mayores exigencias regulatorias, escrutinio público y la necesidad de integrar el cumplimiento como parte del negocio, el rol de las gerencias legales ha evolucionado de manera significativa. Hoy, la función legal no solo gestiona riesgos, sino que acompaña decisiones estratégicas, lidera procesos de transformación cultural y contribuye a la sostenibilidad de las organizaciones.

En esta entrevista conversamos con el General Counsel Chile y LATAM de Sodexo, Jorge Gavilán, quien cuenta con más de 15 años de trayectoria en la compañía y una amplia experiencia en la gestión legal de una multinacional presente en sectores altamente regulados. Desde su mirada regional, aborda la evolución del rol legal, los desafíos del compliance, el liderazgo de equipos y las principales tendencias que marcarán la agenda jurídica y empresarial en América Latina.

Sodexo es una compañía donde la operación diaria es el corazón del negocio. ¿Cómo se adapta la función legal a una organización intensiva en personas, servicios y presencia en terreno?

La única manera en la que la función legal es realmente efectiva en una organización como Sodexo es estando cerca de la operación. Nuestro negocio es profundamente humano: miles de personas trabajando cada día en terreno, en hospitales, faenas mineras, plantas industriales, oficinas corporativas y una enorme diversidad de entornos. Esa realidad no se puede comprender —ni apoyar— desde la distancia.

La clave ha sido adaptar el rol legal a la dinámica operativa y no al revés. Eso implica ser ágiles, prácticos y capaces de entregar soluciones que funcionen en contextos muy distintos. Las respuestas legales deben ser claras y aplicables a la realidad del sitio, considerando los desafíos operativos, los riesgos y, sobre todo, a las personas.

Otro aspecto fundamental es la presencia en terreno. No es un concepto simbólico: hay que estar ahí. He visitado operaciones en Chile, Perú, Colombia y México, desde hospitales hasta sitios mineros, precisamente para entender de primera mano cómo se vive el negocio, qué preocupa a los equipos y cómo podemos apoyar mejor. Esa cercanía permite que el área legal deje de ser vista como un ente abstracto y pase a ser un socio que entiende la operación y la realidad diaria.

Creo que el rol legal debe ser proactivo y anticipatorio. Con equipos tan numerosos y operaciones tan distintas, reaccionar tarde puede generar impactos importantes. Por eso es clave trabajar de la mano con las operaciones y las áreas funcionales para anticipar escenarios, diseñar soluciones simples y apoyar decisiones que permitan que la operación fluya de manera segura y alineada con nuestros valores.

En sectores como minería y energía, donde Sodexo opera dentro de instalaciones críticas de terceros, ¿cómo se gestiona la responsabilidad legal sin perder foco operativo?

Operar en sectores como minería y energía implica hacerlo dentro de instalaciones altamente reguladas, con estándares de seguridad muy estrictos y en entornos donde cualquier desvío puede generar impactos relevantes. En ese contexto, la responsabilidad legal debe gestionarse de manera muy rigurosa, pero sin convertirse en un freno para la operación. Ese equilibrio es clave.

Debemos tener un permanente alineamiento con los protocolos del cliente. En minería y energía, los clientes tienen estándares propios, muchas veces con estándares más altos que la ley. Para que la operación fluya, Sodexo debe integrarse a esos protocolos, entenderlos a profundidad y asegurar que nuestros equipos los apliquen en terreno. No se trata solo de cumplir, se trata de compatibilizar culturas operativas distintas y trabajar como un solo equipo.

Otro punto fundamental es la formación continua de nuestros colaboradores. En estos sectores, la seguridad y el cumplimiento no son conceptos, son prácticas diarias. Nuestros equipos deben estar capacitados en normativas laborales, ambientales, de seguridad operacional y en requisitos específicos del cliente. Esa preparación reduce riesgos y da confianza a la operación.

Además, la función legal debe estar muy cerca de la operación, no como un actor distante, sino como un socio que acompaña decisiones, anticipa riesgos y adapta lineamientos a la realidad del sitio. Las soluciones legales deben ser prácticas y aplicables, porque cada mina, planta o faena tiene dinámicas propias que debemos respetar.

La gestión legal también exige coordinación transversal. En instalaciones críticas, el área legal trabaja de la mano con HSEQ (Salud, Seguridad, Medioambiente y Calidad), recursos humanos, operaciones. Es un modelo colaborativo donde la prevención se construye entre todos, no solo desde una disciplina.

En organizaciones multinacionales el área legal suele ser vista como control. ¿Cómo se transforma en un socio estratégico del negocio?

Creo que el primer paso es cambiar la percepción de que el área legal está ahí solo para detener o aprobar cosas. En mi experiencia, cuando el equipo legal se involucra tempranamente en los proyectos y entiende las dinámicas de la organización y del negocio, deja de ser un filtro y se convierte en un habilitador.

Ser un socio estratégico implica comprender profundamente el modelo operativo, los clientes, los proveedores, los riesgos reales y las oportunidades. No basta con conocer la ley; hay que conocer el negocio, su contexto y sus prioridades. Cuando uno entiende eso, puede anticipar escenarios, proponer alternativas y acompañar a los equipos en la toma de decisiones, en lugar de reaccionar cuando el problema ya está planteado.

Otro elemento clave es la comunicación. Un área legal efectiva debe ser capaz de traducir temas complejos en mensajes simples, accionables y alineados con los objetivos de la compañía. Esa habilidad genera confianza, credibilidad e influencia.

También es imperativo que el equipo legal esté en terreno y en contacto permanente con los distintos stakeholders. La cercanía con la operación y con los equipos permite entender de primera mano los desafíos reales y ofrecer soluciones prácticas y ajustadas a la realidad del negocio.

¿Cómo se logra que la cultura de cumplimiento baje a la operación diaria y no se quede solo en políticas o manuales?

El gran desafío en materia de cumplimiento es justamente eso: lograr que deje de percibirse como un conjunto de documentos y se transforme en una conducta cotidiana dentro de la organización. Y eso no se consigue solo con políticas; se construye con cultura, liderazgo y, sobre todo, con ejemplo.

Las políticas y manuales tienen que ser claros, comprensibles y aplicables a la realidad del negocio. Si un documento es tan técnico que no se puede aterrizar al día a día, entonces pierde su propósito. El cumplimiento debe ser una herramienta que facilite la operación, no un obstáculo.

La implementación y el entrenamiento también son fundamentales. No basta con una capacitación inicial. El cumplimiento se refuerza con conversaciones, talleres, casos reales y una presencia constante en terreno. Cuando los equipos entienden el porqué detrás de las reglas —y no solo el “qué”— el nivel de compromiso cambia por completo.

En mi experiencia, me ha tocado recorrer Chile y varios países de Latinoamérica justamente para generar esos espacios de diálogo con el negocio. He visitado sitios mineros en Chile y México, así como hospitales y operaciones corporativas en Chile, Perú y Colombia. En cada uno de esos encuentros he podido conversar directamente con nuestros trabajadores, clientes y proveedores sobre la importancia de construir una cultura de cumplimiento sólida y compartida.

Esas instancias marcan la diferencia porque conectan la teoría con la realidad y refuerzan la idea de que el cumplimiento no es responsabilidad de un área, sino que es responsabilidad de todos.

¿Qué tan involucrada debe estar la alta dirección en materias legales y de compliance para que el sistema sea efectivo?

El grado de involucramiento de la alta dirección es determinante. Un sistema legal y de compliance solo funciona cuando la primera línea de liderazgo lo reconoce como un componente esencial de la estrategia del negocio.

La participación de la alta dirección es clave en varios niveles. En primer lugar, en la definición del tono y las expectativas. La claridad en los mensajes que transmiten —tanto en sus discursos como en sus decisiones— marca la diferencia entre una organización que cumple porque debe y una que cumple porque cree en ello. Esto se refleja claramente en Sodexo: no solo a nivel país o regional, sino también a nivel global. La compañía ha establecido el cumplimiento como un eje central, lo que se traduce en recursos dedicados, programas globales de implementación y un seguimiento permanente.

Otro ámbito decisivo es la toma de decisiones estratégicas. Los temas legales y de compliance tienen un impacto directo en los riesgos, la reputación, la continuidad operacional y la relación con clientes y stakeholders. Cuando la dirección incorpora estas variables desde el inicio, no solo se previenen problemas, sino que se facilita la toma de decisiones más sostenibles y alineadas con el propósito de la organización.

La alta dirección no solo debe estar informada, sino que debe estar profundamente comprometida y participar activamente. Cuando eso ocurre, el sistema legal y de compliance no solo es efectivo, sino que se convierte en una verdadera ventaja competitiva para la compañía.

Trayectoria y experiencia a nivel regional

Has desarrollado gran parte de tu carrera en Sodexo. ¿Qué te ha permitido permanecer, crecer y reinventarte dentro de una misma organización durante más de 15 años?

Sodexo es una compañía multinacional líder en el mercado de servicios, tanto en Chile como a nivel global. En Latinoamérica estamos presentes en Chile, Perú, Colombia, Panamá, Costa Rica y México, con más de 40 mil colaboradores y operaciones en todos los segmentos de negocio.

Cuando ingresé en 2010, tuve la oportunidad de participar en la creación del equipo legal en Chile, un proyecto que me marcó profundamente porque me permitió construir algo desde cero. Luego, con el transcurso de los años, he ido creciendo, ocupando hoy día la posición de General Counsel de Chile & LATAM, liderando a un equipo de más de 20 abogados.

Lo que me ha mantenido en Sodexo durante tanto tiempo es, sin duda, la posibilidad constante de asumir nuevos desafíos. La empresa está en permanente transformación y eso exige adaptarse, aprender y liderar en contextos cambiantes. Cada etapa me ha presentado escenarios distintos, complejidades nuevas y la oportunidad de formar y desarrollar equipos sólidos.

Creo que esa combinación —desafíos permanentes, propósito claro y un entorno donde el crecimiento profesional es real— ha sido clave para mi permanencia y mi capacidad de reinventarme dentro de la organización.

¿Cómo cambió tu mirada del negocio cuando pasaste de un rol legal local a uno con responsabilidad regional?

El paso de un rol local a una responsabilidad regional me generó la necesidad de comprender el negocio, sus riesgos y sus culturas desde una mirada mucho más amplia. Cuando uno trabaja a nivel país, la atención suele estar puesta en la operación local, en su regulación, en sus clientes y en sus particularidades. Pero al asumir un rol regional, el panorama cambia de inmediato: cada país tiene su propia realidad, su cultura, su velocidad y su marco legal.

Este cambio me obligó a desarrollar una visión mucho más transversal y estratégica. En un rol regional no se trata solo de evaluar y resolver temas legales; es entender cómo una decisión en un país puede impactar a otro, cómo estandarizar procesos sin perder la flexibilidad necesaria, cómo generar estándares comunes respetando las diferencias locales y, sobre todo, cómo apoyar al negocio desde una perspectiva verdaderamente estratégica y no únicamente técnica.

Otra transformación importante fue dimensionar el valor del trabajo colaborativo. En un rol regional no puedes operar de manera aislada. Necesitas construir redes, generar confianza y alinear prioridades entre países que están en etapas distintas de madurez y desarrollo. Esa dinámica te exige liderar desde la flexibilidad, la escucha activa y la coordinación permanente.

En resumen, el cambio de lo local a lo regional no solo amplió mi visión del negocio, sino que también fortaleció mis capacidades de liderazgo, adaptación y gestión estratégica en un entorno mucho más complejo y desafiante.

¿Cómo se equilibra la necesidad de estandarizar contratos y políticas a nivel regional con las exigencias particulares de cada cliente y país?

Este es uno de los mayores desafíos en una organización regional: encontrar el equilibrio entre tener un marco común que dé coherencia y orden, y al mismo tiempo respetar las particularidades legales, culturales y operativas de cada país.

Lo primero es entender que la estandarización no significa rigidez, sino consistencia. A nivel regional necesitamos lineamientos, modelos contractuales y políticas que aseguren un mismo nivel de cumplimiento, integridad y calidad en todos los países. Esa base común nos permite ser más eficientes, reducir riesgos y ofrecer una propuesta de valor uniforme.

Un componente clave es el trabajo colaborativo. Ninguna política regional funciona si no es construida con la visión de los equipos locales. Ellos conocen mejor que nadie las necesidades del mercado, los riesgos específicos y las expectativas de los clientes. Incorporar esa mirada no solo mejora la calidad del modelo, sino que permite que la implementación sea más fluida.

El equilibrio se logra con criterios claros: qué clausulado es intransable por razones de cumplimiento o riesgo, qué elementos son flexibles y qué partes pueden ajustarse según el tipo de situación.

Liderar equipos legales en distintos países implica gestionar talento, presión y diversidad. ¿Qué habilidades se vuelven clave en ese liderazgo?

Liderar equipos legales en varios países es un desafío muy enriquecedor, pero también muy exigente. Implica coordinar culturas, marcos regulatorios, ritmos de trabajo y expectativas muy distintas.

Hay ciertas habilidades que se vuelven absolutamente esenciales. Cuando lideras equipos en distintos países, lo más importante es entender sus realidades. Cada mercado tiene su propia dinámica y sus propios dolores. No existe un liderazgo regional que funcione sin una comprensión profunda de lo local. También la capacidad de adaptación es clave, nada es estático: cambian los países, cambian las prioridades, cambian los clientes y cambian los marcos normativos. Ser flexible y capaz de ajustar estrategias rápidamente es clave para no perder ritmo frente al negocio.

También la capacidad de construir puentes y redes. Liderar un equipo multicultural requiere integrar visiones, armonizar criterios, promover la colaboración y consolidar una identidad común. Esa habilidad de unir perspectivas distintas en una misma dirección es, a mi juicio, una de las claves del liderazgo regional.

¿Qué consejo le darías a quienes aspiran a desarrollarse en posiciones de liderazgo legal regional?

Mi principal consejo es que se atrevan a salir de la zona de confort. Un liderazgo legal regional exige mucho más que conocimientos técnicos; requiere apertura, curiosidad y la capacidad de mirar el negocio desde distintas realidades y culturas. Quien aspire a un rol así debe estar dispuesto a aprender constantemente y a desafiar sus propias formas de hacer las cosas.

También creo que es fundamental conocer el negocio en terreno. No se puede liderar a nivel regional desde un escritorio. Hay que viajar, escuchar a los equipos locales, entender sus desafíos y construir relaciones de confianza. Esas experiencias permiten tomar mejores decisiones y desarrollar una visión más robusta. Otra recomendación importante es fortalecer habilidades blandas, especialmente comunicación, empatía y gestión de influencia. Un líder regional no puede estar en todas partes, por lo que necesita inspirar, alinear y guiar a través de la confianza, no del control. También les diría que busquen buenos mentores y redes profesionales. Conversar con quienes ya han transitado ese camino ayuda a anticipar desafíos y descubrir oportunidades que no siempre son evidentes.

La experiencia de Jorge Gavilán refleja cómo el área legal se ha consolidado como un actor clave en la estrategia y sostenibilidad de las organizaciones. Su mirada, construida desde la práctica y el trabajo regional, pone de relieve la importancia de una función legal cercana al negocio, con foco en la ética, la prevención de riesgos y la generación de valor.

En un escenario cada vez más complejo y dinámico, es fundamental repensar el rol del abogado corporativo y fortalecer una cultura de cumplimiento que trascienda lo normativo. En ComplianceLatam seguiremos promoviendo espacios de conversación y reflexión con líderes legales que están impulsando las mejores prácticas empresariales en la región.

Si deseas más información, escríbenos a contacto@compliancelatam.legal

Chile | Protección de Datos: avanza tramitación de Reglamento del Modelo de Prevención de Infracciones

Chile | Protección de Datos: avanza tramitación de Reglamento del Modelo de Prevención de Infracciones

16-09-2025 | Chile, Noticias

El nuevo Reglamento del Modelo de Prevención de Infracciones fija lineamientos y certificación para programas de cumplimiento en protección de datos

Actualmente se encuentra en proceso de toma de razón por parte de la Contraloría el Decreto N° 662/2025 del Ministerio de Hacienda, mediante el cual se aprueba el Reglamento del Modelo de Prevención de Infracciones, previsto en el artículo 49 de la Ley de Protección de Datos Personales.

El reglamento tiene por objetivo establecer los requisitos, modalidades y procedimientos para la implementación, registro y supervisión de los Modelos de Prevención de Infracciones.

Aunque su adopción es voluntaria, se deja claro que ello no exime a los responsables del deber de implementar acciones para prevenir infracciones y cumplir con las disposiciones de la Ley de Datos.

Elementos esenciales del MPI / Programa de Cumplimiento

Los programas de cumplimiento corresponden al Modelo de Prevención de Infracciones y pueden ser adoptados por cualquier responsable de datos, persona natural o jurídica. Entre sus principales contenidos se incluyen:

  • Individualización del responsable de datos y su representante legal.
  • Designación del Delegado de Protección de Datos (DPO), con definición de sus medios y facultades.
  • Se contempla la modalidad de “DPO as a Service”, obligándose siempre a designar a una persona natural en el contrato.
  • Caracterización de los datos personales tratados, incluyendo categorías, finalidades, fuentes, bases de licitud, plazos de conservación y existencia de decisiones automatizadas.
  • Posibilidad de cumplimiento con Registro de Actividades de Tratamiento (RAT) con contenidos mínimos definidos en la norma.
  • Identificación de actividades de tratamiento de mayor riesgo, incorporándolas en una matriz de riesgos graduada según las sanciones de la ley.
  • Protocolos, reglas y procedimientos específicos para que las personas que intervienen en actividades de tratamiento o procesos desempeñen sus tareas previniendo infracciones.
  • Mecanismos internos de reporte y denuncia ante el DPO, garantizando la reserva de identidad del denunciante y la prohibición de medidas desfavorables en su contra.
  • Sanciones administrativas internas y procedimientos sancionatorios aplicables por infracción a las normas internas.
  • Cláusulas de difusión interna y canales de comunicación efectivos para asegurar la comprensión y cumplimiento del programa.
  • Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de datos personales.

Delegado de Protección de Datos (DPO) – Funciones Reforzadas

El documento establece de forma detallada el rol del DPO, quien se convierte en el pilar técnico-jurídico del MPI. Entre sus funciones y obligaciones destacan, entre otras:

  • Informar y asesorar al responsable, a terceros encargados/mandatarios y a los dependientes sobre las disposiciones legales aplicables al tratamiento de datos personales.
  • Participar en la revisión y modificación del programa de cumplimiento, proponiendo ajustes cuando detecte riesgos u oportunidades de mejora.
  • Promover la difusión, conocimiento, comprensión y cumplimiento de la política que dicte el responsable en materia de protección de datos.
  • Supervisar el cumplimiento normativo, evaluando periódicamente la eficacia de las medidas adoptadas y verificando la corrección de posibles desviaciones.
  • Comunicar directamente a la autoridad competente cualquier infracción a la norma aplicable al tratamiento de datos de la que tome conocimiento, sin interferencias del responsable.
  • Impulsar la formación y capacitación permanente del personal en materia de protección de datos.
  • Asesorar al responsable en la identificación de los riesgos asociados a las actividades de tratamiento que realice la entidad y en la adopción de medidas preventivas.
  • Garantizar canales de comunicación seguros y confidenciales con titulares, personal interno y terceros, velando por la reserva de identidad de denunciantes.

Certificación y supervisión

La disposición establece el procedimiento para la aprobación, certificación, registro, implementación y supervisión de los programas de cumplimiento.

La certificación será otorgada por la agencia mediante procedimiento iniciado por el interesado, con vigencia de 3 años y causales de caducidad como revocación, disolución de la persona jurídica o cese voluntario de la actividad.

El Reglamento sobre Modelos de Prevención de Infracciones se presenta como un marco operativo que orienta a los responsables de datos en la adopción de buenas prácticas de cumplimiento.

Aunque su implementación no es obligatoria, en la práctica se transforma en un estándar de referencia que fortalece la gobernanza de datos, refuerza la confianza frente a titulares y autoridades y permite anticipar riesgos regulatorios, aportando evidencia concreta de debida diligencia.

Para mas información nos pueden escribir a contacto@compliancelatam.legal

Chile | Se formalizó creación de Agencia Nacional de Ciberseguridad

Chile | Se formalizó creación de Agencia Nacional de Ciberseguridad

09-01-2025 | Chile, Noticias

El 24 de diciembre de 2024 se publicó en el Diario Oficial el DFL N°1-21.663, de 30 de octubre de 2024, que fija la planta de personal de directivos de la Agencia Nacional de Ciberseguridad (ANCI) y regula otras materias.

Esta normativa se dicta en cumplimiento de lo establecido en la Ley N°21.663 Marco sobre Ciberseguridad.

Por otro lado, además de definir la planta de personal, remuneraciones y requisitos de ingreso, entre otros aspectos. La normativa también establece:

1. La fecha de iniciación de actividades de la agencia es el 1 de enero de 2025.

2. En general, la entrada en rigor de las normas de la Ley Marco de Ciberseguridad es el 1 de enero de 2025, salvo lo dispuesto en los artículos 5°, 8°, 9° y Título VII de la misma ley.

3. Las normas exceptuadas entrarán en vigencia el 1 de marzo de 2025, y dicen relación con:

· Disposiciones sobre calificación de operadores de importancia vital por la agencia.

· Deberes específicos de los operadores de importancia vital.

· Deber de reportar al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática) los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.

· Infracciones y sanciones contempladas en la ley. Recordemos que se establecen sanciones de hasta 20 mil UTM en los casos de infracciones gravísimas, las que podrían llegar a hasta las 40 mil UTM cuando se trate de operadores de importancia vital.

La agencia tendrá como objetivo liderar las políticas de ciberseguridad, coordinar respuestas a incidentes, así como proteger datos y comunicaciones en todos los niveles del Estado, incluyendo el sector privado y la ciudadanía para crear un ecosistema digital seguro y resiliente.

Revisa el decreto completo en el siguiente link: DFL N°1-21.663

Para obtener más información sobre el funcionamiento y los plazos de la nueva Agencia Nacional de Ciberseguridad, pueden contactar a: Rodrigo Albagli | Socio | ralbagli@az.cl Eugenio Gormáz | Socio | egormaz@az.cl Ivonne Bueno | Directora az Tech | ibueno@az.cl Yoab Bitran | Director Grupo Compliance | ybitran@az.cl Antonia Nudman | Asociada Senior | anudman@az.cl