Foro Compliance Latam
Compliance Latam lanza la Guía Comparada sobre Investigaciones Internas en Latinoamérica, EE.UU. y España

Compliance Latam lanza la Guía Comparada sobre Investigaciones Internas en Latinoamérica, EE.UU. y España

24-07-2025 | Noticias

Compliance Latam lanza la Guía Comparada sobre Investigaciones Internas en Latinoamérica, EE.UU. y España

  • El documento incluye información actualizada en 18 jurisdicciones y pueden descargarlo ingresando aquí.

 En un entorno cada vez más exigente en materia regulatoria, donde los programas de cumplimiento se han consolidado como pilares fundamentales de la ética y la integridad, Compliance Latam presenta su segunda guía comparada del año sobre Investigaciones Internas.

Es un recurso práctico y estratégico para empresas que buscan fortalecer sus mecanismos de prevención, detección y respuesta frente a eventuales conductas indebidas.

Es importante mencionar que esta herramienta mapea desafíos, aprendizajes y buenas prácticas en 18 jurisdicciones de Latinoamérica, Estados Unidos y España, donde están presentes las firmas miembros de la plataforma Compliance Latam.

Del mismo modo, la guía ofrece una visión regional y actualizada sobre el marco regulatorio y los principios generales que rigen las Investigaciones Internas en cada país, permitiendo una comparación útil para organizaciones con operaciones globales.

Entre los aspectos abordados se incluyen:

  • La existencia (o no) de un deber legal de contar con canales de denuncia.
  • Reglas sobre el anonimato de los denunciantes.
  • La obligación de investigar las denuncias recibidas.
  • Normativas sobre la protección legal de los denunciantes.
  • El deber legal de realizar una investigación interna previa a una sanción o medida disciplinaria.
  • Criterios de idoneidad para quienes llevan adelante estas investigaciones.
  • Proyectos de ley en tramitación que podrían impactar la regulación de estas materias.

La guía fue elaborada por las firmas representantes de Compliance Latam, quienes aportaron su conocimiento local y experiencia práctica en cada una de las jurisdicciones: Albagli Zaliasnik (Chile), Bartolome & Briones (España), Basham, Ringe y Correa (México), Beccar Varela (Argentina), BLP (Centro América), Bustamante Fabara (Ecuador), CPB (Perú), FCR Law (Brasil), Ferrere (Uruguay, Paraguay y Bolivia), MDU Legal (Panamá), Miller & Chevalier (Estados Unidos) y Posse Herrera Ruiz (Colombia).

Esta herramienta colectiva refuerza el compromiso de Compliance Latam de impulsar mejores prácticas empresariales y la cultura de cumplimiento, ofreciendo a las empresas un recurso concreto para navegar con mayor claridad los complejos escenarios de las Investigaciones Internas.

La guía ya está disponible para descarga en nuestra página web aquí.

Próximamente lanzaremos nuestra tercera guía comparada del año, continuando con nuestro compromiso de generar contenido práctico y actualizado para la comunidad.

Para más información o consultas, pueden escribirnos a: contacto@compliancelatam.legal

Podcast “Rule the Rules” – Temporada 2 Episodio 5: Edwin Bustinza, Director de Cumplimiento, Compañia de Minas Buenaventura

Podcast “Rule the Rules” – Temporada 2 Episodio 5: Edwin Bustinza, Director de Cumplimiento, Compañia de Minas Buenaventura

23-07-2025 | Noticias

En este quinto episodio de Rule The Rules, Yoab Bitran, Director del Grupo Compliance de Albagli Zaliasnik, conversó con Edwin Bustinza, Director de Cumplimiento en Compañía de Minas Buenaventura, desde Perú.

Edwin nos comparte su trayectoria profesional y cómo llegó al mundo del compliance. En la conversación, destaca la importancia de que las organizaciones comprendan que el compliance es un facilitador, no un obstáculo.

Además, destaca que hoy en día el compliance debe verse como una ventaja estratégica, que actúe de forma preventiva y no solamente reactiva. Esto solo es posible cuando tanto los colaboradores como la alta dirección están comprometidos y ven el compliance como parte del ADN de la empresa.

Ecuador | Aplicación del Principio de Responsabilidad Extendida del Productor (REP) para Medicamentos y Productos Farmacéuticos según lo dispuesto en el Acuerdo Ministerial MAATE-2023-134

Ecuador | Aplicación del Principio de Responsabilidad Extendida del Productor (REP) para Medicamentos y Productos Farmacéuticos según lo dispuesto en el Acuerdo Ministerial MAATE-2023-134

21-07-2025 | Bustamante Fabara

El 1 de febrero de 2024, el Ministerio del Ambiente, Agua y Transición Ecológica (MAATE) publicó en el Registro Oficial N.º 490 el Acuerdo Ministerial MAATE-2023-134 (en adelante, el “Acuerdo Ministerial”), mediante el cual se expide la Norma Técnica para la Aplicación del Principio de Responsabilidad Extendida del Productor en la Gestión Integral de Medicamentos y Productos Farmacéuticos Caducados o Fuera de Especificación.

Este instrumento constituye una herramienta normativa clave para garantizar el manejo ambientalmente adecuado de estos productos durante todo su ciclo de vida, con especial énfasis en la fase postconsumo.

Cabe destacar que esta disposición se complementa con lo previsto en los artículos 175 y 176 de la Ley Orgánica de Salud, los cuales establecen que:

  • Las farmacias y botiquines deben notificar a sus proveedores al menos 60 días antes de la caducidad de los medicamentos, y
  • Los fabricantes o importadores son responsables de su retiro, canje, destrucción y eliminación, bajo la supervisión de la Autoridad Sanitaria Nacional (Ministerio de Salud Pública – MSP).

En este sentido, el marco legal vigente configura una responsabilidad compartida entre la autoridad sanitaria y la autoridad ambiental, la cual debe ser abordada de forma articulada por todos los actores involucrados en la cadena de producción, comercialización y consumo de productos farmacéuticos.

Un punto importante a mencionar es que el Acuerdo Ministerial detalla que se debe presentar y ejecutar un Programa de Gestión Integral, el cual, de conformidad con la Disposición Transitoria Primera del Acuerdo Ministerial, debe ser presentado hasta el 1 de agosto de 2025. Este plazo es improrrogable y su incumplimiento puede acarrear sanciones administrativas conforme a la normativa ambiental vigente. Por lo que en el presente boletín se presentan puntos importantes a considerar:

1. Marco Normativo Aplicable

La Norma Técnica se fundamenta en un cuerpo normativo intersectorial, entre el cual destacan:

  • Ley Orgánica de Salud: Artículos 175 y 176.
  • Código Orgánico del Ambiente (COA): Artículo 217.
  • Reglamento al COA: Artículos 650 y 652.

Estas disposiciones establecen, entre otros aspectos, la obligación de fabricantes, importadores y comercializadores de asumir la gestión de productos caducados o fuera de especificación, y de garantizar su retiro, tratamiento y eliminación final conforme a normas ambientales y sanitarias.

2. Ámbito de Aplicación

La Norma Técnica tiene carácter obligatorio para los siguientes actores:

  • Productores: Personas naturales o jurídicas que produzcan, importen o introduzcan por primera vez medicamentos o productos farmacéuticos en el mercado nacional, siempre que sean titulares del registro sanitario ante la autoridad competente.
  • Distribuidores o Comercializadores: Son aquellas personas naturales o jurídicas nacionales o extranjeras encargados de la venta, comercialización o distribución de los productos farmacéuticos, sujetos a la Responsabilidad Extendida del Productor en el Mercado Nacional.

Asimismo, la normativa involucra como actores corresponsables a:

  • Usuarios o consumidores finales,
  • Gestores ambientales autorizados,
  • Gobiernos Autónomos Descentralizados Municipales o Metropolitanos (GADs),

3. Obligaciones de los Productores:

Los productores tienen la obligación de:

  • Diseñar, presentar y ejecutar un Programa de Gestión Integral (PGI) para medicamentos caducados o fuera de especificación, que contemple fases como recolección, transporte, tratamiento y disposición final. Este instrumento contiene el conjunto de reglas, acciones, procedimientos y medios dispuestos para el adecuado proceso de logística inversa y posterior gestión integral de productos farmacéuticos, con el fin de que sean enviadas a instalaciones autorizadas en las que se sujetarán a procesos que prioricen su eliminación y/o disposición final. Dicho documento será sujeto a aprobación por parte de la Autoridad Ambiental Nacional.
  • Obtener el registro como generador de residuos peligrosos, conforme al Sistema Único de Información Ambiental (SUIA) del MAATE.
  • Implementar un sistema de gestión individual o colectivo conforme a los lineamientos técnicos establecidos.
  • Informar periódicamente a la Autoridad Ambiental Nacional sobre cantidades gestionadas, puntos de recolección y operadores contratados.

4. Responsabilidad de Distribuidores y Comercios

Según lo dispuesto en el artículo 4 de la Norma Técnica y el artículo 652 del Reglamento al COA, los distribuidores y comercializadores son corresponsables de la ejecución de los PGI aprobados por los productores. Esta corresponsabilidad implica:

  • Colaborar activamente en los procesos de recolección de productos caducados o fuera de especificación.
  • Asegurar la correcta devolución y canalización de estos productos hacia los centros de acopio o gestores autorizados.
  • Coordinar logísticamente con los productores para facilitar la operatividad del sistema de gestión ambiental.
Estados Unidos | FinCEN prohíbe transmisiones de fondos con tres instituciones financieras mexicanas

Estados Unidos | FinCEN prohíbe transmisiones de fondos con tres instituciones financieras mexicanas

10-07-2025 | Miller & Chevalier, Noticias

El 25 de junio de 2025, el Financial Crimes Enforcement Network (FinCEN) emitió órdenes (Órdenes de FinCEN) identificando a tres instituciones financieras mexicanas: CIBanco S.A., Institución de Banca Múltiple (CIBanco), Intercam Banco S.A., Institución de Banca Múltiple (Intercam) y Vector Casa de Bolsa, S.A. de C.V. (Vector), como “preocupación primaria de lavado de dinero en relación con el tráfico ilícito de opioides“.

Las Órdenes de FinCEN contra CIBanco, Intercam y Vector son las primeras de este tipo y prohíben a instituciones financieras estadounidenses[1] de “participar en cualquier transmisión de fondos”, incluida la moneda virtual convertible, desde o hacia estas tres instituciones financieras con sede en México, un paso sin precedentes que podría tener ramificaciones significativas no solo para las tres entidades, sino también para las instituciones financieras estadounidenses y otras empresas que tratan con esas entidades.

Las Órdenes de FinCEN se aplican a CIBanco, Intercam y Vector, así como a sus sucursales, subsidiarias y oficinas en México; se excluyen las transacciones con sucursales, subsidiarias y oficinas de estas entidades que se encuentran fuera de México. Las Órdenes de FinCEN originalmente proporcionan a las instituciones financieras estadounidenses cubiertas un corto período de liquidación entrando los términos en vigor el 21 de julio de 2025.

Debido a los diversos pasos tomados por las autoridades mexicanas en respuesta a las Órdenes de FinCEN, los cuales se mencionan más adelante, FinCEN emitió el 9 de julio de 2025 órdenes extendiendo el plazo de aplicación de los términos de las Órdenes de FinCEN por 45 días, es decir, hasta el 4 de septiembre de 2025.

Es importante notar que no hay una fecha de finalización establecida y las Órdenes de FinCEN no se aplican a las transacciones históricas con estas entidades. Si las instituciones financieras estadounidenses cubiertas continúan realizando transacciones con estas entidades después del 4 de septiembre de 2025, pueden enfrentar sanciones civiles o incluso sanciones penales por violaciones deliberadas bajo la Ley Bank Secrecy Act (BSA).

Descripción General de las Órdenes

FinCEN emitió estas Órdenes bajo la Ley de Erradicación del Fentanilo y Disuasión de Narcóticos (FEND Off) de 2024. Entre otras cosas, la Ley FEND Off agregó el 21 U.S.C. § 2313a y otorga al Secretario del Tesoro la autoridad, que ha sido delegada a FinCEN, para determinar que ciertas instituciones financieras, transacciones o cuentas son de preocupación primaria de lavado de dinero en relación con el tráfico de opioides e imponer medidas especiales relacionadas con esas entidades, cuentas o transacciones.

Las medidas especiales a disposición de FinCEN incluyen las cinco medidas especiales previamente autorizadas por 31 USC § 5318A (comúnmente referidas como sección 311 de la Ley PATRIOTA de EE.UU.), así como una nueva sexta medida especial para “prohibir, o imponer condiciones a ciertas transmisiones de fondos” por instituciones financieras nacionales si dicha transmisión involucra a la entidad que es de preocupación primaria por el lavado de dinero. En este caso, FinCEN aplicó la sexta medida especial por primera vez.

Basándose en parte en “información no pública”, FinCEN encontró “motivos razonables para concluir” que CIBanco, Intercam y Vector han proporcionado “servicios financieros que facilitan el tráfico ilícito de opioides por [organizaciones de tráfico de drogas] con sede en México”, incluso facilitando transacciones que financiaron la importación de precursores químicos utilizados en la producción de opioides sintéticos ilícitos.

En particular, FinCEN determinó que CIBanco, Intercam y Vector realizaron transacciones en nombre de ciertos cárteles, incluidos el Cártel del Golfo, el Cártel de Organización Beltrán-Leyva, el Cártel de Jalisco Nueva Generación (CJNG) y el Cártel de Sinaloa. Las Órdenes FinCEN señalan que la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) ha designado a todos estos carteles de conformidad con varios programas y que el Departamento de Estado designó a varios de estos mismos carteles como Organizaciones Terroristas Extranjeras (FTO, por sus siglas en inglés).

Al emitir las Órdenes, FinCEN declaró que las organizaciones de tráfico de drogas (DTOs, por sus siglas en inglés) “no podrían beneficiarse del tráfico de fentanilo y otros opioides sintéticos si no fuera por su capacidad de lavar y remitir los ingresos monetarios a México“, por lo que es “fundamental abordar el papel que las instituciones financieras que operan fuera de los Estados Unidos desempeñan en la facilitación del lavado de dinero que permite y facilita las DTOs y su tráfico ilícito de opioides y lavado de dinero relacionado”.

Además de la prohibición de transmitir fondos, en una FAQ relacionada, FinCEN articuló su expectativa de que las instituciones financieras estadounidenses “(1) implementen procedimientos para garantizar el cumplimiento de los términos de las órdenes; y (2) ejerzan la debida diligencia razonable para evitar participar en transmisiones de fondos que involucren a CIBanco, Intercam o Vector”. Además, si bien las órdenes no imponen nuevos requisitos para presentar informes de actividad sospechosa (SAR, por sus siglas en inglés), FinCEN también instruyó a las instituciones financieras cubiertas a considerar la conclusión de FinCEN de que CIBanco, Intercam y Vector son las preocupaciones primarias de lavado de dinero al determinar si presentar SAR y proporcionó identificadores específicos para hacerlo (i.e., “CIBanco2313a FIN-2025”, “Intercam2313a FIN-2025” y “Vector2313a FIN-2025”).

Las autoridades financieras de México respondieron inmediatamente al anuncio de FinCEN de las Órdenes:

  • El 25 de junio de 2025, el Ministerio de Hacienda (Secretaría de Hacienda y Crédito Público SHCP) emitió una declaración reconociendo las acciones del Tesoro de los EE.UU., pero enfatizando que no había recibido ninguna evidencia probatoria que vinculara a las instituciones mencionadas con actividades ilícitas. SHCP señaló que la Comisión Nacional Bancaria y de Valores (CNBV) ya había multado a las tres instituciones por deficiencias administrativas por un monto total de 134 millones de pesos mexicanos.
  • El 26 de junio de 2025, CNBV anunció (aquí y aquí) que intervendría y supervisaría CIBanco, Intercam y Vector.
  • Tras el anuncio de FinCEN, CIBanco e Intercam fueron supuestamente desconectados del sistema de liquidación nacional de México, una medida destinada a prevenir la fuga de capitales y preservar la estabilidad financiera.

 

Puntos Clave

El enfoque continuo de la Administración en los cárteles y FTO. Como señaló FinCEN, “la lucha contra los cárteles de la droga y el cese del flujo de drogas mortales en los Estados Unidos es una de las prioridades más altas de la Administración Trump”. A principios de este año, el 5 de febrero de 2025, la Fiscal General Pam Bondi emitió un memorando al personal del Departamento de Justicia (DOJ, por sus siglas en inglés) titulado “Eliminación total de cárteles y organizaciones criminales transnacionales”, que se discute con más detalle aquí.

El 12 de mayo de 2025, Matthew R. Galeotti, Jefe de la División Criminal del DOJ, emitió un memorando anunciando la Política revisada de Enforcement Corporativa y Autodivulgación Voluntaria (CEP, por sus siglas en inglés) del DOJ y delineando “prioridades y políticas de enforcement para procesar delitos corporativos y de cuello blanco en la nueva Administración”, como se discute con más detalle aquí.

El memorando identifica una serie de áreas de enforcement prioritarias, que incluyen, como relevantes: (1) “conducta que amenaza la seguridad nacional del país, incluidas las amenazas al sistema financiero de los EE.UU. por parte de los gatekeepers, como las instituciones financieras y sus insiders con información privilegiada que cometen violaciones de sanciones o permiten transacciones por parte de cárteles, [organizaciones criminales transnacionales], estados-nación hostiles y/u organizaciones terroristas extranjeras”; y (2) “conducta de lavado de dinero complejo, incluidas las organizaciones de lavado de dinero chinas y otras organizaciones involucradas en el lavado de fondos utilizados en la fabricación de drogas ilegales”.

El 9 de junio de 2025, el Fiscal General Adjunto Todd Blanche emitió las Directrices para las Investigaciones y Enforcement de la Ley de Prácticas Corruptas en el Extranjero (FCPA, por sus siglas en inglés), que se discuten aquí, en las que el DOJ vincula el enforcement de la FCPA directamente con el lavado de dinero para los cárteles. Estos memorandos confirman que el DOJ dará prioridad al enforcement de las leyes contra el lavado de dinero y las leyes relacionadas, particularmente con respecto a las personas y entidades que facilitan las transacciones relacionadas con el tráfico de drogas.

Las Órdenes de FinCEN dirigidas a CIBanco, Intercam y Vector son el último ejemplo, y quizás el más concreto, de este enfoque. Estas órdenes señalan la voluntad del gobierno de Trump de perseguir agresivamente a los cárteles y organizaciones de narcotráfico con sede en México a través de todos los medios disponibles, incluso apuntando a las instituciones financieras que interactúan con los cárteles. Frente a este nuevo y agresivo panorama de enforcement de las leyes, otras instituciones financieras extranjeras tal vez quieran reevaluar sus programas de compliance para garantizar que detecte y prevenga adecuadamente el lavado de dinero y el financiamiento del terrorismo.

Uso de Órdenes en Lugar de Notificación y Comentario Regulación bajo la Ley FEND Off. Las Órdenes de FinCEN son el primer uso de la Ley FEND Off desde su promulgación en 2024. En particular, el artículo 2313a permite que se impongan medidas especiales mediante una orden de un organismo sin previo aviso y sin que se formulen comentarios a la norma, en contraste con el artículo 311, que tiene requisitos de reglamentación más estrictos. FinCEN emitió unilateralmente estas órdenes, que no tienen fecha de finalización.

Actualizaciones de Programas de Compliance de Instituciones Financieras Cubiertas. En particular, la aplicabilidad de esta medida especial en virtud del artículo 21 U.S.C. 2313a (2) se extiende a las instituciones financieras estadounidenses, incluidos bancos, corredores de bolsa, comerciantes de comisiones de futuros, corredores en materias primas, fondos mutuos, empresas de servicios monetarios que realizan actividades reguladas total o sustancialmente dentro de los EE.UU., compañías de telégrafo, casinos, clubes de tarjetas y otros establecimientos de juegos con ingresos brutos anuales de juegos superiores a $ 1 millón, y otras partes sujetas a la supervisión de las autoridades supervisoras bancarias estatales o federales.

Las instituciones financieras cubiertas deben revisar rápidamente sus programas de compliance para garantizar la alineación con los requisitos de las órdenes FinCEN. Esto puede incluir ajustar los procesos de selección para identificar a los clientes involucrados en las transmisiones de fondos con CIBanco, Intercam o Vector, implementar procedimientos para detectar transacciones relevantes y garantizar una capacitación adecuada para garantizar el escalamiento y la consideración de las obligaciones de presentación de SAR a la luz de las órdenes 2313a.

Impacto en otras empresas que no son Instituciones Financieras Cubiertas. Si bien las órdenes 2313a solo se aplican a las instituciones financieras estadounidenses, las empresas estadounidenses y de otros países que no son instituciones financieras podrían enfrentar obstáculos financieros y operativos como resultado indirecto de las órdenes. Una empresa que opera en México y que utiliza una de las instituciones financieras mexicanas para facilitar pagos internacionales que involucran a instituciones financieras estadounidenses podría enfrentar desafíos al hacerlo en el futuro. Por ejemplo, el 30 de junio de 2025, Visa tomó medidas unilaterales para distanciarse de CIBanco y cerró su plataforma para todas las transacciones internacionales relacionadas con tarjetas de crédito emitidas por CIBanco.

En relación con esto, una empresa que busca pagar a las entidades mexicanas por proporcionar servicios como servicios de fideicomisario podría verse incapaz de hacerlo a través de transferencias de cuentas estadounidenses a la luz de las órdenes. Incluso las transacciones no cubiertas explícitamente por las órdenes pueden verse afectadas, ya que las instituciones financieras no estadounidenses podrían optar por rechazar ciertas transacciones que involucren a las entidades mexicanas debido a factores de riesgo percibidos. Aparte de los bloqueos operativos, las empresas también podrían percibir que las relaciones en curso con estas entidades generan riesgos inaceptables para la reputación u otro tipo de riesgos y suspender esas relaciones.

Para más información, póngase en contacto con:

Matteson Ellis, mellis@milchev.com, 202-626-1477

Jeffrey A. Lehtman, jlehtman@milchev.com, 202-626-1484

Timothy P. O’Toole, totoole@milchev.com, 202-626-5552

Ian A. Herbert, iherbert@milchev.com, 202-626-1496

María Elena Lapetina, mlapetina@milchev.com, 202-626-1586

Leah Moushey, lmoushey@milchev.com, 202-626-5896

Franco Jofré, fjofre@milchev.com, 202 626 1585

Alexandra Beaulieu, abeaulieu@milchev.com, 202 626 5922

 

[1] Las Órdenes de FinCEN aplican a las “Instituciones Financieras Cubiertas (“Covered Financial Institutions”), como se definen en 31 CFR §1010.100(t). El término incluye “a cada agente, agencia, sucursal u oficina dentro de los Estados Unidos de cualquier persona que haga negocios, ya sea de forma regular o como una empresa organizada” en calidad de (1) un banco, (2) un corredor de valores u agente de valores, (3) un negocio de servicios monetarios, (4) una compañía de telégrafos, (5) un casino con ingresos brutos anuales por juegos que superen el millón de dólares, (6) un club de cartas o un establecimiento de juegos similar con ingresos brutos anuales por juegos que superen el millón de dólares, (7) una persona sujeta a la supervisión de una autoridad de supervisión bancaria estatal o federal, (8) un comerciante de comisiones de futuros, (9) un corredor de introducción de materias primas, o (10) un fondo mutuo.

Opinion | Ciberseguridad: Los Nuevos Campos de Batalla

Opinion | Ciberseguridad: Los Nuevos Campos de Batalla

07-07-2025 | Noticias, Sin categoría

Ciberseguridad: Los Nuevos Campos de Batalla

La revolución digital entendida como concepto liberador de las capacidades tecnológicas y su acercamiento al ser humano ha llegado para quedarse. La inteligencia artificial, la nube, big data, el metaverso y la realidad aumentada son un ejemplo de tecnologías que ya forman parte de nuestro día a día. Pero ¿somos conscientes de cuáles son sus implicaciones? El cambio en la forma en que las personas trabajamos y vivimos es una de ellas. Hoy más que nunca, la tecnología se ha transformado en una extensión de la persona humana, ya sea en sus procesos creativos, operativos, productivos y rodea casi todos los aspectos de nuestra vida. En esta línea no podemos dejar de pensar en los pros y contras que trae esta nueva ola, sin duda hay muchos beneficios que hoy son evidentes como por ejemplo los avances en salud y conectividad, pero también hay facetas negativas o que abren espacios de riesgo tanto para las industrias como para las personas. Es por esto que el desarrollo tecnológico no puede verse en silos, es necesario que el análisis siempre sea integral y cuando hacemos este ejercicio es inevitable pensar en la seguridad.

La ciberseguridad pasó de ser un asunto de películas de espionaje y gobiernos a ser un tema de vital importancia en aspectos cotidianos de nuestras vidas, como proteger nuestros datos, claves o usar responsablemente plataformas o tecnologías. Su relevancia ha dado paso a importantes avances normativos en el marco global, regional y local. En los últimos años hemos observado como los esfuerzos público-privados se han centrado en impulsar y desarrollar un marco de cumplimiento en el mundo digital. Empezamos ya hace muchos años con distintos intentos que han concluido, después de un largo calvario, en la promulgación de una nueva Ley de Protección de Datos Personales que actualiza la normativa antes vigente de 1999, si bien tendrá un periodo de vacancia y entrará en vigor el 1 de diciembre de 2026, este avance se ha celebrado desde distintas industrias dada su larga espera y necesidad. También encontramos normativas como la Ley de Transformación Digital del Estado y la actualización de la Ley de Delitos Informáticos, ambas de 2022. Finalmente encontramos lo que podría considerarse la piedra angular de la ola de producción normativa en aspectos tecnológicos, la Ley Marco de Ciberseguridad publicada el 8 de abril de 2024 en el Diario Oficial.

La institucionalidad y sus implicancias prácticas

La Ley Marco de Ciberseguridad se presenta hoy como una prioridad para el mundo del compliance, si analizamos en primer lugar la línea temporal, ya encontramos importantes cambios con impactos directos sobre distintas industrias, además de la instauración de una institucionalidad que sin duda es un elemento clave para asegurar el cumplimiento de los objetivos de normativas tan específicas. Hemos observado una aceleración no menor en la generación de reglamentos en este sentido, encontramos por ejemplo el Decreto con Fuerza de Ley que pone en funcionamiento a la ANCI (Agencia Nacional de Ciberseguridad) a partir del 1 de enero de 2025, posteriormente los Decretos que aprueban el reglamento de reporte de incidentes de ciberseguridad a la ANCI, la obligación de prestadores de servicios esenciales de inscribirse para poder efectuar dichos reportes y finalmente el Decreto que establece el procedimiento mediante el cual la ANCI determinará qué prestadores de servicios esenciales (PSE) serán calificados como OIV, teniendo estos últimos como implicancia principal un mayor grado de exigibilidad en sus programas de cumplimiento y multas.

Este último punto merece particular atención en relación con el cambio de paradigma que ha tenido el mundo de la ciberseguridad, tanto la sofisticación de ataques apalancados por herramientas como la Inteligencia Artificial como también la apertura de nuevos “Campos de Batalla” como lo son los ataques a redes OT a diferencia de lo que veíamos hace solo un par de años. Con el paso del tiempo hemos notado que las amenazas de seguridad tienen un dinamismo tanto en la forma en que se producen como en los sectores a los que apuntan. La ciberseguridad industrial hoy se ha transformado en un tema prioritario tanto para el sector público como privado.

Hace un par de años nuestra atención estaba completamente centrada en sectores como el financiero porque entendíamos que la mayor amenaza producida a través de ataques cibernéticos impactaba fundamentalmente sectores como este, en definitiva la industria financiera es 100% gestionada por sistemas TI (Information Technology), entendiendo a estos como sistemas de gestión o procesamiento de datos o información, a contrario sensu, de los sistemas OT (Operational Technology) los cuales gestionan sistemas físicos de producción o infraestructura crítica como plantas de energía, industrias de manufactura, farmacéuticas o la industria automotriz. En este contexto es relevante considerar algunos riesgos adicionales. Los sistemas OT enfrentan riesgos adicionales debido a sus entornos únicos y a menudo impredecibles. Entre estos riesgos se pueden incluir los riesgos para la salud y seguridad del personal, efectos potenciales en el cumplimiento ambiental y regulatorio y la afectación masiva de servicios de utilidad pública como el transporte, las cadenas de producción alimenticia y farmacéutica entre otras.

Hoy en día, muchísimas más empresas estarán sujetas al cumplimiento de las normativas de ciberseguridad debido a la creciente complejidad y alcance de las amenazas. A partir del 30 de mayo, se dio inicio al proceso de calificación de los Operadores de Importancia Vital (OIV), lo cual traerá consigo una inevitable revisión de los programas de seguridad de muchas organizaciones.

Esta revisión no solo implicará una actualización de las medidas técnicas de protección, sino que también requerirá un enfoque integral que abarque aspectos legales, organizacionales, técnicos y operacionales. Las empresas deberán asegurarse de que sus políticas y procedimientos estén alineados con las nuevas exigencias normativas, y que sus equipos estén capacitados para enfrentar las amenazas emergentes.

En el aspecto legal, las empresas deberán garantizar el cumplimiento de todas las normativas vigentes, y dar cumplimiento por ejemplo a indicaciones como el deber de reportar, regulada en el artículo 9 de la Ley Marco de Ciberseguridad y el Decreto 295/2024. Esto implicará una revisión exhaustiva de los contratos y acuerdos con proveedores y terceros para asegurarse de que también cumplan con los requisitos de ciberseguridad.

Desde el punto de vista organizacional, las empresas deberán fomentar una cultura de seguridad digital en todos los niveles, promoviendo la concientización y formación continua de su personal. Será crucial establecer roles y responsabilidades claras en cuanto a la gestión de la ciberseguridad, así como contar con un plan de respuesta a incidentes bien definido, ambas obligaciones también reguladas en la nueva Ley.

En cuanto a los aspectos técnicos y operacionales, las empresas deberán implementar tecnologías avanzadas de detección y respuesta a amenazas, asegurarse de que sus sistemas y redes estén adecuadamente protegidos y realizar pruebas y auditorías periódicas para identificar y corregir vulnerabilidades.

En resumen, la calificación de los OIV marcará un hito en la ciberseguridad, obligando a las empresas a adoptar un enfoque más riguroso y multidimensional en la protección de sus infraestructuras críticas. Este proceso, aunque desafiante, es esencial para garantizar la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.

Es esencial que las empresas perciban el compliance normativo no solo como una obligación, sino como una herramienta de desarrollo empresarial. La necesaria transformación digital exige que se mire la Ciberseguridad como un elemento de engranaje clave desde una perspectiva positiva y estratégica. No debe ser visto únicamente como un gasto eventual, sino como una inversión en la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.

El entorno digital viene experimentando un cambio de paradigma que requiere una adaptación proactiva por parte de las empresas. La complejidad y el alcance de las amenazas demandan un enfoque multidisciplinario en la protección de las infraestructuras digitales. El futuro ya está aquí, y es tiempo de que las organizaciones inicien procesos internos de análisis para dar cumplimiento en esta materia. Adoptar un enfoque integral de compliance y seguridad digital no solo asegura la conformidad con las normativas, sino que también impulsa el desarrollo empresarial en la transformación digital, garantizando la resiliencia y continuidad en el mundo moderno.

Felipe Godoy Correa

Legal Country Lead Accenture Chile

Podcast | Rule The Rules Episodio 4; Gabriela Del Castillo, Directora global de Ética y Cumplimiento.

03-07-2025 | Noticias, Sin categoría

En este episodio, Yoab Bitran, director del Grupo Compliance de Albagli Zaliasnik, conversa con Gabriela del Castillo, directora global de Ética y Cumplimiento.

En una conversación cercana, Gabriela comparte su inspiradora trayectoria profesional y cómo ha enfrentado momentos de gran complejidad. Relata cómo, en un periodo especialmente desafiante, tuvo que abordar riesgos normativos estrechamente ligados al negocio.

Destaca, además, la relevancia de construir relaciones sólidas dentro de la organización como parte fundamental del rol del compliance officer.