La revolución digital entendida como concepto liberador de las capacidades tecnológicas y su acercamiento al ser humano ha llegado para quedarse. La inteligencia artificial, la nube, big data, el metaverso y la realidad aumentada son un ejemplo de tecnologías que ya forman parte de nuestro día a día. Pero ¿somos conscientes de cuáles son sus implicaciones? El cambio en la forma en que las personas trabajamos y vivimos es una de ellas. Hoy más que nunca, la tecnología se ha transformado en una extensión de la persona humana, ya sea en sus procesos creativos, operativos, productivos y rodea casi todos los aspectos de nuestra vida. En esta línea no podemos dejar de pensar en los pros y contras que trae esta nueva ola, sin duda hay muchos beneficios que hoy son evidentes como por ejemplo los avances en salud y conectividad, pero también hay facetas negativas o que abren espacios de riesgo tanto para las industrias como para las personas. Es por esto que el desarrollo tecnológico no puede verse en silos, es necesario que el análisis siempre sea integral y cuando hacemos este ejercicio es inevitable pensar en la seguridad.
La ciberseguridad pasó de ser un asunto de películas de espionaje y gobiernos a ser un tema de vital importancia en aspectos cotidianos de nuestras vidas, como proteger nuestros datos, claves o usar responsablemente plataformas o tecnologías. Su relevancia ha dado paso a importantes avances normativos en el marco global, regional y local. En los últimos años hemos observado como los esfuerzos público-privados se han centrado en impulsar y desarrollar un marco de cumplimiento en el mundo digital. Empezamos ya hace muchos años con distintos intentos que han concluido, después de un largo calvario, en la promulgación de una nueva Ley de Protección de Datos Personales que actualiza la normativa antes vigente de 1999, si bien tendrá un periodo de vacancia y entrará en vigor el 1 de diciembre de 2026, este avance se ha celebrado desde distintas industrias dada su larga espera y necesidad. También encontramos normativas como la Ley de Transformación Digital del Estado y la actualización de la Ley de Delitos Informáticos, ambas de 2022. Finalmente encontramos lo que podría considerarse la piedra angular de la ola de producción normativa en aspectos tecnológicos, la Ley Marco de Ciberseguridad publicada el 8 de abril de 2024 en el Diario Oficial.
La institucionalidad y sus implicancias prácticas
La Ley Marco de Ciberseguridad se presenta hoy como una prioridad para el mundo del compliance, si analizamos en primer lugar la línea temporal, ya encontramos importantes cambios con impactos directos sobre distintas industrias, además de la instauración de una institucionalidad que sin duda es un elemento clave para asegurar el cumplimiento de los objetivos de normativas tan específicas. Hemos observado una aceleración no menor en la generación de reglamentos en este sentido, encontramos por ejemplo el Decreto con Fuerza de Ley que pone en funcionamiento a la ANCI (Agencia Nacional de Ciberseguridad) a partir del 1 de enero de 2025, posteriormente los Decretos que aprueban el reglamento de reporte de incidentes de ciberseguridad a la ANCI, la obligación de prestadores de servicios esenciales de inscribirse para poder efectuar dichos reportes y finalmente el Decreto que establece el procedimiento mediante el cual la ANCI determinará qué prestadores de servicios esenciales (PSE) serán calificados como OIV, teniendo estos últimos como implicancia principal un mayor grado de exigibilidad en sus programas de cumplimiento y multas.
Este último punto merece particular atención en relación con el cambio de paradigma que ha tenido el mundo de la ciberseguridad, tanto la sofisticación de ataques apalancados por herramientas como la Inteligencia Artificial como también la apertura de nuevos “Campos de Batalla” como lo son los ataques a redes OT a diferencia de lo que veíamos hace solo un par de años. Con el paso del tiempo hemos notado que las amenazas de seguridad tienen un dinamismo tanto en la forma en que se producen como en los sectores a los que apuntan. La ciberseguridad industrial hoy se ha transformado en un tema prioritario tanto para el sector público como privado.
Hace un par de años nuestra atención estaba completamente centrada en sectores como el financiero porque entendíamos que la mayor amenaza producida a través de ataques cibernéticos impactaba fundamentalmente sectores como este, en definitiva la industria financiera es 100% gestionada por sistemas TI (Information Technology), entendiendo a estos como sistemas de gestión o procesamiento de datos o información, a contrario sensu, de los sistemas OT (Operational Technology) los cuales gestionan sistemas físicos de producción o infraestructura crítica como plantas de energía, industrias de manufactura, farmacéuticas o la industria automotriz. En este contexto es relevante considerar algunos riesgos adicionales. Los sistemas OT enfrentan riesgos adicionales debido a sus entornos únicos y a menudo impredecibles. Entre estos riesgos se pueden incluir los riesgos para la salud y seguridad del personal, efectos potenciales en el cumplimiento ambiental y regulatorio y la afectación masiva de servicios de utilidad pública como el transporte, las cadenas de producción alimenticia y farmacéutica entre otras.
Hoy en día, muchísimas más empresas estarán sujetas al cumplimiento de las normativas de ciberseguridad debido a la creciente complejidad y alcance de las amenazas. A partir del 30 de mayo, se dio inicio al proceso de calificación de los Operadores de Importancia Vital (OIV), lo cual traerá consigo una inevitable revisión de los programas de seguridad de muchas organizaciones.
Esta revisión no solo implicará una actualización de las medidas técnicas de protección, sino que también requerirá un enfoque integral que abarque aspectos legales, organizacionales, técnicos y operacionales. Las empresas deberán asegurarse de que sus políticas y procedimientos estén alineados con las nuevas exigencias normativas, y que sus equipos estén capacitados para enfrentar las amenazas emergentes.
En el aspecto legal, las empresas deberán garantizar el cumplimiento de todas las normativas vigentes, y dar cumplimiento por ejemplo a indicaciones como el deber de reportar, regulada en el artículo 9 de la Ley Marco de Ciberseguridad y el Decreto 295/2024. Esto implicará una revisión exhaustiva de los contratos y acuerdos con proveedores y terceros para asegurarse de que también cumplan con los requisitos de ciberseguridad.
Desde el punto de vista organizacional, las empresas deberán fomentar una cultura de seguridad digital en todos los niveles, promoviendo la concientización y formación continua de su personal. Será crucial establecer roles y responsabilidades claras en cuanto a la gestión de la ciberseguridad, así como contar con un plan de respuesta a incidentes bien definido, ambas obligaciones también reguladas en la nueva Ley.
En cuanto a los aspectos técnicos y operacionales, las empresas deberán implementar tecnologías avanzadas de detección y respuesta a amenazas, asegurarse de que sus sistemas y redes estén adecuadamente protegidos y realizar pruebas y auditorías periódicas para identificar y corregir vulnerabilidades.
En resumen, la calificación de los OIV marcará un hito en la ciberseguridad, obligando a las empresas a adoptar un enfoque más riguroso y multidimensional en la protección de sus infraestructuras críticas. Este proceso, aunque desafiante, es esencial para garantizar la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
Es esencial que las empresas perciban el compliance normativo no solo como una obligación, sino como una herramienta de desarrollo empresarial. La necesaria transformación digital exige que se mire la Ciberseguridad como un elemento de engranaje clave desde una perspectiva positiva y estratégica. No debe ser visto únicamente como un gasto eventual, sino como una inversión en la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
El entorno digital viene experimentando un cambio de paradigma que requiere una adaptación proactiva por parte de las empresas. La complejidad y el alcance de las amenazas demandan un enfoque multidisciplinario en la protección de las infraestructuras digitales. El futuro ya está aquí, y es tiempo de que las organizaciones inicien procesos internos de análisis para dar cumplimiento en esta materia. Adoptar un enfoque integral de compliance y seguridad digital no solo asegura la conformidad con las normativas, sino que también impulsa el desarrollo empresarial en la transformación digital, garantizando la resiliencia y continuidad en el mundo moderno.
En este episodio, Yoab Bitran, director del Grupo Compliance de Albagli Zaliasnik, conversa con Gabriela del Castillo, directora global de Ética y Cumplimiento.
En una conversación cercana, Gabriela comparte su inspiradora trayectoria profesional y cómo ha enfrentado momentos de gran complejidad. Relata cómo, en un periodo especialmente desafiante, tuvo que abordar riesgos normativos estrechamente ligados al negocio.
Destaca, además, la relevancia de construir relaciones sólidas dentro de la organización como parte fundamental del rol del compliance officer.
En este episodio del podcast, Yoab Bitran, Director del Grupo Compliance de Albagli Zaliasnik, entrevista a Patricia Kosa, actual Vicepresidente y Compliance Officer en Sierra Metals.
Durante la conversación, Patricia comparte su trayectoria profesional, destacando su paso por el ámbito legal y cómo fue asumiendo crecientes responsabilidades hasta llegar a liderar el área de compliance en una empresa minera con operaciones en distintos países de América Latina.
Además, detalla cómo es su día a día como Compliance Officer, explicando cómo implementa el compliance en la organización: desde la elaboración de políticas internas y procesos de capacitación, monitoreo y el fortalecimiento de una cultura ética empresarial. Resalta la importancia de anticiparse a los riesgos y la necesidad de contar con el apoyo del liderazgo para que el programa de cumplimiento tenga impacto real.
La nueva norma entrará en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.
La Comisión para el Mercado Financiero (CMF) emitió la Norma de Carácter General N° 538 que establece los estándares mínimos de seguridad, registro y autenticación que deberán cumplir bancos, emisores de tarjetas, cooperativas de ahorro y crédito y otras entidades supervisadas.
Esto en relación con las operaciones sujetas a la Ley N°20.009 sobre responsabilidad por operaciones no reconocidas con medios de pago.
Dentro de los principales puntos a destacar de esta norma, se encuentran:
Se introduce la obligación de implementar autenticación reforzada de cliente (ARC) en operaciones clave, como transferencias electrónicas de fondos y modificaciones de datos personales.
La ARC deberá basarse en al menos dos factores independientes de autenticación (conocimiento, posesión e inherencia).
Se exige a los emisores asegurar la confidencialidad, integridad y trazabilidad de las transacciones.
La CMF podrá fiscalizar y sancionar el incumplimiento de estos estándares.
Es importante mencionar que la norma entra en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.
De este modo, esta norma marca un hito importante en la protección del usuario financiero frente a fraudes, reforzando las medidas de ciberseguridad y trazabilidad exigidas a los emisores.
El llamado a estas entidades es a prepararse, ya que será clave revisar políticas internas, sistemas tecnológicos y protocolos de autenticación en miras al cumplimiento normativo.
El 10 de febrero de 2025, el presidente Trump firmó la O.E. 14209 para “Pausar la aplicación de la Ley de Prácticas Corruptas Extranjeras para Promover la Seguridad Económica y Nacional de Estados Unidos”.
La O.E. establece un período de 180 días (que finaliza el 9 de agosto de 2025) para que Bondi:
No inicie nuevas investigaciones de la FCPA (sin perjuicio de poder iniciar investigaciones de forma excepcional);
Revise las acciones de enforcement derivadas de la FCPA y tome acción apropiada para restaurar límites en la aplicación de la FCPA; y
Publique los lineamientos y políticas que regirán las investigaciones para darle prioridad a intereses Americanos.
Nueva Guía del Fiscal General Adjunto Todd Blanche
El 9 de junio de 2025, el Fiscal General Adjunto Todd Blanche publicó una guía revisada sobre la aplicación de la FCPA (el “Memorando”) en respuesta a la O.E. 14209.[1] En esencia, el Memorando establece que las investigaciones y acciones de enforcement actuales y futuras de la FCPA se guiarán por los siguientes objetivos:
“limitar las cargas indebidas sobre las compañías estadounidenses que operan en el extranjero”; y
“focalizar las acciones de aplicación contra las conductas que socavan directamente los intereses nacionales de Estados Unidos”.
Además, el Memorando da instrucciones a los fiscales para que se centren en los individuos, procedan con celeridad y tengan en cuenta las consecuencias colaterales de las investigaciones, incluida “la potencial perturbación de los negocios legales y el impacto en los empleados de una compañía”.
El Memorando también establece varios factores, no taxativos, que deben tener en cuenta los fiscales a la hora de determinar si se debe iniciar o continuar con las investigaciones o con las acciones de enforcement de la ley, a saber:
“Si la presunta conducta indebida (1) está asociada a las operaciones delictivas de cárteles u organizaciones delictivas transnacionales (“TCOs” por sus siglas en inglés); (2) utiliza lavadores de activos o compañías de papel que se relacionan con cárteles o TCOs; o (3) está vinculada a empleados de una entidad estatal u otros funcionarios extranjeros que han recibido sobornos de cárteles o TCOs”;
“Si la presunta conducta indebida privó a entidades estadounidenses específicas e identificables de un acceso justo a la competencia o provocó un perjuicio económico a compañías o individuos estadounidenses específicos o identificables”;
Si la conducta indebida crea una amenaza “urgente” para “la seguridad nacional de Estados Unidos como consecuencia del soborno de funcionarios corruptos que implique a infraestructura o activos clave”, especialmente si la corrupción tiene lugar “en sectores como defensa, inteligencia o infraestructura crítica”;
Si la presunta conducta indebida se eleva a “una conducta indebida grave que conlleva un fuerte indicio de intención corrupta vinculada a individuos particulares”; o
Si “una autoridad competente extranjera está dispuesta y es capaz de investigar y perseguir la misma presunta conducta indebida”.
También observamos que en la nota al pie de la página número cuatro del Memorando, el DOJ hace referencia al hecho de que los esquemas de soborno más flagrantes han sido cometidos históricamente por compañías extranjeras y que las acciones más significativas de la FCPA (tanto en el alcance de la conducta indebida como en las penas impuestas) han sido impuestas en su inmensa mayoría contra compañías extranjeras. Esto puede sugerir que esta seguirá siendo una tendencia para este DOJ.
Las conclusiones claves que resultan del Memorando son las siguientes:
Confirma el aumento de los riesgos bajo la FCPA y otros riesgos relacionados para las empresas que operan en áreas influenciadas por operaciones de cárteles y organizaciones criminales transnacionales (TCO), como son los países de América Latina. Esto es consistente con el memorando emitido por el Jefe de la División Criminal del DOJ, Matthew R. Galeotti el 12 de mayo, estableciendo los enfoques de la nueva administración en cuanto a los crímenes de cuello blanco, los cuales incluyen el soborno a funcionarios extranjeros y lavado de activos y el apoyo material a los cárteles y TCOs.[1]
Indica un cambio en el enfoque tradicionalmente asertivo del DOJ para la responsabilidad corporativa por los actos de los empleados o agentes, si las declaraciones del DOJ sobre no perseguir “collective knowledge theories” (teorías de conocimiento colectivo) se aplican consistentemente en casos futuros.
Podría hacer que el DOJ se niegue a perseguir casos que no dañen a “entidades o individuos específicos e identificables de Estados Unidos”, incluidos los casos que involucren sobornos por parte de empresas estadounidenses que no afectan otros intereses de Estados Unidos o que solo perjudican a partes no estadounidenses; aunque tal enfoque podría aumentar el escrutinio de las empresas estadounidenses por parte de las autoridades de otros países y podría ser considerado como violaciones de las obligaciones de Estados Unidos bajos los tratados.
Representa un probable enfoque del DOJ en investigar casos de corrupción por parte de empresas no estadounidenses, especialmente aquellas con sede en países considerados como amenazas para los intereses nacionales de Estados Unidos (por ejemplo, China).
Parece diseñado para ayudar a las empresas estadounidenses que operan en sectores críticos de interés para la seguridad nacional, aunque los detalles son escasos y algunas de las políticas anunciadas pueden tener consecuencias no deseadas para esas empresas.
Dirige el foco del enforcement lejos de potencialmente penalizar a las personas estadounidenses por participar en “prácticas comerciales de rutina en otras naciones”, aunque no define tales prácticas en detalle y abre la puerta a una mayor presión sobre los programas de cumplimiento corporativo, así como a posibles mayores costos para las empresas estadounidenses por, por ejemplo, funcionarios extranjeros que esperan un tratamiento potencialmente lujoso de acuerdo con las costumbres locales.
No aborda la política o las prioridades de la FCPA de la Comisión de Valores y Bolsa (SEC) (aunque la SEC podría considerar medidas destinadas a mejorar el escrutinio de la divulgación de información de las empresas públicas sobre ciertos temas relacionados a la luz de los cambios en el enforcement contra el soborno).
Solamente nota de forma indirecta los efectos en las empresas (estadounidenses y no estadounidenses) del potencial enforcement intensificado sobre la lucha contra la corrupción por parte de otros países, aunque confirma que el DOJ tiene la intención de continuar la cooperación multilateral y la asistencia judicial mutua relacionada con al menos algunas investigaciones multinacionales.
No proporciona una interpretación para ciertos conceptos clave, como, por ejemplo, cómo el DOJ minimizará “la posible interrupción de los negocios legales y el impacto en los empleados de una empresa” de una investigación, dejando esos problemas para una futura implementación caso por caso.
Si bien varias preguntas importantes continúan sin respuesta, el Memorando del 9 de junio representa una declaración significativa de los nuevos objetivos y prioridades del DOJ en la aplicación de la FCPA.
El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo
Con la entrada en vigencia, a partir del 01 de diciembre de 2026, de la nueva Ley sobre Datos Personales en Chile, muchas empresas están revisando sus prácticas cotidianas.
En esta oportunidad queremos centrar nuestra mirada en el ámbito laboral, por los efectos que ello conllevará para las organizaciones y el ejercicio de las legítimas facultades del empleador.
Así, una situación que puede pasar desapercibida, pero que requiere de análisis, es el uso de grupos de WhatsApp entre trabajadores. ¿Es legal? ¿Qué pasa si se usa el número personal del trabajador sin su consentimiento? Un reciente caso en Europa entrega respuestas útiles, y que pueden ser aplicables a nuestro ordenamiento, dado los principios y estándares consagrados en la nueva ley.
La Agencia Española de Protección de Datos (AEPD) sancionó con 42.000 euros a una empresa por agregar el número personal de una trabajadora a un grupo de WhatsApp corporativo sin contar con su consentimiento.
La compañía alegó que lo hacía para fines laborales y que incluso había adoptado buenas prácticas (como el uso de móviles corporativos con medidas de seguridad), pero esto no fue suficiente. La sanción fue impuesta en el marco del Expediente N.º EXP202310848, recientemente publicado por la AEPD.
Lo anterior, a pesar de que en una primera instancia se había declarado inadmisible la reclamación, bajo la conclusión preliminar de que el actuar de la empresa habría sido conforme a derecho, acogiendo sus argumentos de defensa que: “la práctica de la empresa hasta la fecha en esta materia ha sido prudente y garantista toda vez que los grupos de WhatsApp solo incluyen empleados de la empresa”.
Continúa mencionando que no se agregó “a ningún tercero y que los datos personales de los miembros que son objeto de tratamiento necesario se refieren exclusivamente al nombre y apellidos de los miembros y a su número móvil, así como a su intervención en determinadas tareas y proyectos de la empresa, es decir, a los mínimos indispensables”.
Frente a ello, la reclamante interpuso un recurso cuya resolución es clara: no basta con que el tratamiento de datos tenga un fin útil o práctico para la empresa. Para que sea lícito, debe apoyarse en una base jurídica válida (como el consentimiento o la ejecución de un contrato), lo que no se cumplía en este caso.
Es importante mencionar que el uso del número personal no puede forzarse, ni siquiera si se justifica por razones operativas o por falta de equipos, según queda de manifiesto en el Fundamento de Derecho V de la resolución:
“A este respecto, cabe señalar que la infracción afecta a un principio básico del tratamiento de datos personales, como es el que dicho tratamiento cuente con una base de legitimación. En el presente caso consta, asimismo que, a pesar de que la reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese objetivo”.
Esta sanción anticipa un debate que será central bajo la futura legislación chilena: el respeto al principio de licitud en entornos laborales. La nueva ley exigirá que las empresas puedan justificar, documentar y limitar adecuadamente cada tratamiento de datos personales. El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo.
¿Qué deben hacer las empresas en Chile respecto a la protección de datos personales en el ámbito laboral?
Evitar usar números personales de trabajadores sin consentimiento claro y documentado.
Implementar protocolos escritos sobre herramientas de comunicación interna.
Entregar equipos corporativos cuando se requiera comunicación constante por mensajería.
Evaluar los riesgos asociados a estos tratamientos, especialmente en términos de privacidad y seguridad.
El caso mencionado deja una lección clave para las empresas chilenas: la gestión de datos personales en el entorno laboral debe planificarse con el mismo rigor que cualquier otro proceso corporativo.
En un escenario donde WhatsApp se ha convertido en una herramienta laboral de facto, la nueva legislación chilena exigirá pasar de la informalidad al cumplimiento. La clave estará en documentar las decisiones, minimizar los riesgos y la implementación anticipada de buenas prácticas.
Para más información sobre estos temas pueden consultar a:
