La Superintendencia de Transporte expidió la Resolución 14673 de 2025, mediante la cual se adiciona el Capítulo 10 del Título V de la Circular Única de Infraestructura y Transporte. Con esta disposición, se establecen lineamientos específicos para la adopción de los Programas de Transparencia y Ética Empresarial (PTEE) por parte de las compañías del sector, en cumplimiento de lo previsto en el artículo 34-7 de la Ley 1474 de 2011, adicionado por la Ley 2195 de 2022.
De acuerdo con la resolución, deberán implementar el PTEE todas las personas jurídicas sometidas a la inspección, vigilancia y control de la Superintendencia de Transporte que desarrollen actividades empresariales y que, en consecuencia, se encuentren inscritas en el Módulo de Registro de Vigilados. Esta obligación recae sobre concesiones viales, sociedades portuarias, operadores portuarios, transporte terrestre decarga intermunicipal, aéreo de carga y pasajeros, especial, fluvial, CEAS, CIAS, CDAS, Autoridades de Tránsito, Organismos de tránsito, entre otros. Las empresas que adquieran la calidad de sujetos obligados disponen de un plazo de ocho (8) meses para diseñar e implementar el PTEE, contado desde la notificación del otorgamiento del requisito habilitante y/o registro por parte de la autoridad competente. En el caso de aquellas compañías que ya contaban con dicho requisito o registro al momento de la expedición de la resolución, el término vence el 19 de mayo de 2026, ocho meses desde la fecha de publicación de la Resolución.
El programa debe incluir medidas orientadas a identificar, prevenir, gestionar y mitigar los riesgos de corrupción y soborno transnacional. Entre otros aspectos, se exige que el PTEE cuente con políticas claras de cumplimiento, procedimientos para la gestión de conflictos de interés, canales de denuncia confidenciales y seguros, reglas específicas frente a regalos, donaciones y financiación de campañas políticas, así como la adopción de un código de ética y de buen gobierno que oriente la cultura organizacional. La resolución también impone la obligación de documentar adecuadamente el programa, de realizar procesos de capacitación periódica a empleados, administradores y contratistas, y de divulgar sus lineamientos de manera accesible tanto al interior de la organización como frente a terceros.
Cada sujeto obligado deberá designar un Oficial de Cumplimiento responsable de la administración y seguimiento del PTEE. Este funcionario debe estar domiciliado en Colombia, acreditar formación en gestión de riesgos y cumplir con requisitos de idoneidad e independencia, entre otros. El programa también impone deberes específicos a la junta directiva o máximo órgano social, al representante legal, a la revisoría fiscal y a la auditoría interna, con el fin de garantizar la adecuada implementación, actualización y supervisión del PTEE. La Superintendencia estableció un esquema de acompañamiento dirigido a pymes y mipymes del sector transporte. Este incluye la elaboración de guías metodológicas simplificadas, talleres de capacitación gratuitos y asistencia técnica, con el propósito de facilitar la implementación del programa sin generar costos ni cargas excesivas para este tipo de empresas. El incumplimiento de la obligación de adoptar e implementar el PTEE dará lugar a sanciones administrativas por parte de la Superintendencia de Transporte, de conformidad con lo previsto en la Ley 336 de 1996 y demás disposiciones aplicables. La autoridad podrá iniciar procesos sancionatorios frente a la omisión o inadecuada aplicación de los lineamientos previstos en la resolución.
Con esta regulación, la Superintendencia de Transporte busca elevar los estándares de integridad y cumplimiento en el sector, al exigir que las empresas vigiladas adopten mecanismos internos efectivos contra la corrupción y el soborno transnacional; además, esta norma muestra el esfuerzo de dicha entidad por fortalecer los programas de cumplimiento de sus vigiladas, y se suma a la obligación de tales entidades de implementar un SARLAFT según lo dispuesto en la Resolución 2338 de 2025.
La revolución digital entendida como concepto liberador de las capacidades tecnológicas y su acercamiento al ser humano ha llegado para quedarse. La inteligencia artificial, la nube, big data, el metaverso y la realidad aumentada son un ejemplo de tecnologías que ya forman parte de nuestro día a día. Pero ¿somos conscientes de cuáles son sus implicaciones? El cambio en la forma en que las personas trabajamos y vivimos es una de ellas. Hoy más que nunca, la tecnología se ha transformado en una extensión de la persona humana, ya sea en sus procesos creativos, operativos, productivos y rodea casi todos los aspectos de nuestra vida. En esta línea no podemos dejar de pensar en los pros y contras que trae esta nueva ola, sin duda hay muchos beneficios que hoy son evidentes como por ejemplo los avances en salud y conectividad, pero también hay facetas negativas o que abren espacios de riesgo tanto para las industrias como para las personas. Es por esto que el desarrollo tecnológico no puede verse en silos, es necesario que el análisis siempre sea integral y cuando hacemos este ejercicio es inevitable pensar en la seguridad.
La ciberseguridad pasó de ser un asunto de películas de espionaje y gobiernos a ser un tema de vital importancia en aspectos cotidianos de nuestras vidas, como proteger nuestros datos, claves o usar responsablemente plataformas o tecnologías. Su relevancia ha dado paso a importantes avances normativos en el marco global, regional y local. En los últimos años hemos observado como los esfuerzos público-privados se han centrado en impulsar y desarrollar un marco de cumplimiento en el mundo digital. Empezamos ya hace muchos años con distintos intentos que han concluido, después de un largo calvario, en la promulgación de una nueva Ley de Protección de Datos Personales que actualiza la normativa antes vigente de 1999, si bien tendrá un periodo de vacancia y entrará en vigor el 1 de diciembre de 2026, este avance se ha celebrado desde distintas industrias dada su larga espera y necesidad. También encontramos normativas como la Ley de Transformación Digital del Estado y la actualización de la Ley de Delitos Informáticos, ambas de 2022. Finalmente encontramos lo que podría considerarse la piedra angular de la ola de producción normativa en aspectos tecnológicos, la Ley Marco de Ciberseguridad publicada el 8 de abril de 2024 en el Diario Oficial.
La institucionalidad y sus implicancias prácticas
La Ley Marco de Ciberseguridad se presenta hoy como una prioridad para el mundo del compliance, si analizamos en primer lugar la línea temporal, ya encontramos importantes cambios con impactos directos sobre distintas industrias, además de la instauración de una institucionalidad que sin duda es un elemento clave para asegurar el cumplimiento de los objetivos de normativas tan específicas. Hemos observado una aceleración no menor en la generación de reglamentos en este sentido, encontramos por ejemplo el Decreto con Fuerza de Ley que pone en funcionamiento a la ANCI (Agencia Nacional de Ciberseguridad) a partir del 1 de enero de 2025, posteriormente los Decretos que aprueban el reglamento de reporte de incidentes de ciberseguridad a la ANCI, la obligación de prestadores de servicios esenciales de inscribirse para poder efectuar dichos reportes y finalmente el Decreto que establece el procedimiento mediante el cual la ANCI determinará qué prestadores de servicios esenciales (PSE) serán calificados como OIV, teniendo estos últimos como implicancia principal un mayor grado de exigibilidad en sus programas de cumplimiento y multas.
Este último punto merece particular atención en relación con el cambio de paradigma que ha tenido el mundo de la ciberseguridad, tanto la sofisticación de ataques apalancados por herramientas como la Inteligencia Artificial como también la apertura de nuevos “Campos de Batalla” como lo son los ataques a redes OT a diferencia de lo que veíamos hace solo un par de años. Con el paso del tiempo hemos notado que las amenazas de seguridad tienen un dinamismo tanto en la forma en que se producen como en los sectores a los que apuntan. La ciberseguridad industrial hoy se ha transformado en un tema prioritario tanto para el sector público como privado.
Hace un par de años nuestra atención estaba completamente centrada en sectores como el financiero porque entendíamos que la mayor amenaza producida a través de ataques cibernéticos impactaba fundamentalmente sectores como este, en definitiva la industria financiera es 100% gestionada por sistemas TI (Information Technology), entendiendo a estos como sistemas de gestión o procesamiento de datos o información, a contrario sensu, de los sistemas OT (Operational Technology) los cuales gestionan sistemas físicos de producción o infraestructura crítica como plantas de energía, industrias de manufactura, farmacéuticas o la industria automotriz. En este contexto es relevante considerar algunos riesgos adicionales. Los sistemas OT enfrentan riesgos adicionales debido a sus entornos únicos y a menudo impredecibles. Entre estos riesgos se pueden incluir los riesgos para la salud y seguridad del personal, efectos potenciales en el cumplimiento ambiental y regulatorio y la afectación masiva de servicios de utilidad pública como el transporte, las cadenas de producción alimenticia y farmacéutica entre otras.
Hoy en día, muchísimas más empresas estarán sujetas al cumplimiento de las normativas de ciberseguridad debido a la creciente complejidad y alcance de las amenazas. A partir del 30 de mayo, se dio inicio al proceso de calificación de los Operadores de Importancia Vital (OIV), lo cual traerá consigo una inevitable revisión de los programas de seguridad de muchas organizaciones.
Esta revisión no solo implicará una actualización de las medidas técnicas de protección, sino que también requerirá un enfoque integral que abarque aspectos legales, organizacionales, técnicos y operacionales. Las empresas deberán asegurarse de que sus políticas y procedimientos estén alineados con las nuevas exigencias normativas, y que sus equipos estén capacitados para enfrentar las amenazas emergentes.
En el aspecto legal, las empresas deberán garantizar el cumplimiento de todas las normativas vigentes, y dar cumplimiento por ejemplo a indicaciones como el deber de reportar, regulada en el artículo 9 de la Ley Marco de Ciberseguridad y el Decreto 295/2024. Esto implicará una revisión exhaustiva de los contratos y acuerdos con proveedores y terceros para asegurarse de que también cumplan con los requisitos de ciberseguridad.
Desde el punto de vista organizacional, las empresas deberán fomentar una cultura de seguridad digital en todos los niveles, promoviendo la concientización y formación continua de su personal. Será crucial establecer roles y responsabilidades claras en cuanto a la gestión de la ciberseguridad, así como contar con un plan de respuesta a incidentes bien definido, ambas obligaciones también reguladas en la nueva Ley.
En cuanto a los aspectos técnicos y operacionales, las empresas deberán implementar tecnologías avanzadas de detección y respuesta a amenazas, asegurarse de que sus sistemas y redes estén adecuadamente protegidos y realizar pruebas y auditorías periódicas para identificar y corregir vulnerabilidades.
En resumen, la calificación de los OIV marcará un hito en la ciberseguridad, obligando a las empresas a adoptar un enfoque más riguroso y multidimensional en la protección de sus infraestructuras críticas. Este proceso, aunque desafiante, es esencial para garantizar la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
Es esencial que las empresas perciban el compliance normativo no solo como una obligación, sino como una herramienta de desarrollo empresarial. La necesaria transformación digital exige que se mire la Ciberseguridad como un elemento de engranaje clave desde una perspectiva positiva y estratégica. No debe ser visto únicamente como un gasto eventual, sino como una inversión en la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
El entorno digital viene experimentando un cambio de paradigma que requiere una adaptación proactiva por parte de las empresas. La complejidad y el alcance de las amenazas demandan un enfoque multidisciplinario en la protección de las infraestructuras digitales. El futuro ya está aquí, y es tiempo de que las organizaciones inicien procesos internos de análisis para dar cumplimiento en esta materia. Adoptar un enfoque integral de compliance y seguridad digital no solo asegura la conformidad con las normativas, sino que también impulsa el desarrollo empresarial en la transformación digital, garantizando la resiliencia y continuidad en el mundo moderno.
En este episodio, Yoab Bitran, director del Grupo Compliance de Albagli Zaliasnik, conversa con Gabriela del Castillo, directora global de Ética y Cumplimiento.
En una conversación cercana, Gabriela comparte su inspiradora trayectoria profesional y cómo ha enfrentado momentos de gran complejidad. Relata cómo, en un periodo especialmente desafiante, tuvo que abordar riesgos normativos estrechamente ligados al negocio.
Destaca, además, la relevancia de construir relaciones sólidas dentro de la organización como parte fundamental del rol del compliance officer.
Proyecto de Ley de Inteligencia Artificial avanzó tramitación a Comisión de Hacienda de la Cámara de Diputados.
El miércoles 14 de mayo se registró un nuevo avance en la tramitación del proyecto de ley que busca regular los sistemas de Inteligencia Artificial (IA) en Chile. En esta oportunidad, la Comisión de Futuro, Ciencias, Tecnología, Conocimiento e Innovación de la Cámara de Diputadas y Diputadosaprobó el proyecto, permitiéndole continuar su curso legislativo.
Este proyecto establece un marco normativo para el funcionamiento de los sistemas de IA en el país, y su tramitación continúa ahora en la Comisión de Hacienda de la misma cámara. En caso de ser aprobado en esa instancia, será sometido a votación en la sala de la Cámara, y, de no haber inconvenientes u objeciones, posteriormente pasará al Segundo Trámite Constitucional en el Senado.
El desarrollo de este proyecto se enmarca en el creciente uso de tecnologías basadas en Inteligencia Artificial, cuyas implicancias —tanto positivas como negativas— ya se manifiestan en distintos ámbitos de la sociedad chilena.
El 20 de marzo del año en curso, se publicó en el Diario Oficial de la Federación (DOF) la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025. Queda abrogada la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Destacamos las principales modificaciones que la NLFPDPPP presenta con respecto a la LFPDPPP:
Modificación/precisión en las definiciones de diversos conceptos:
Concepto
Antigua versión LFPDPPP
NLFPDPPP
Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley.
Bases de Datos
El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
Consentimiento
Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Datos personales
Cualquier información concerniente a una persona física identificada o identificable.
Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
Datos personales sensibles
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
Derechos ARCO
No había definición en la LFPDPPP.
Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
Fuente de Acceso Público
Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.
Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables.
Responsable
Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
Sujetos regulados a que se refiere la fracción XVI de este artículo.
Sujetos regulados
No había definición en la LFPDPPP.
Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;
Tratamiento
La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
Transferencias
Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.
2. Consentimiento
La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.
La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.
Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.
Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.
3. Aviso de Privacidad
Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.
Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.
4. Derechos ARCO
Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.
En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.
5. Nueva autoridad de protección de datos
La Secretaría de Anticorrupción y Buen Gobierno asumirá las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.
Además, la reforma elimina a la Secretaría de Economía como autoridad reguladora en esta materia.
6. Procedimientos en la materia.
Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.
Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Es importante mencionar que los particulares deberán revisar y ajustar sus políticas y prácticas internas para adecuarlas a los cambios que conlleva la vigencia de la nueva ley. Asimismo, es recomendable implementar capacitaciones al personal y colaboradores para socializar la NLPDPPP, en su momento la reglamentación y la nueva autoridad. Finalmente, es de suma importancia estar al tanto de la Secretaría para conocer sus nuevas prácticas y criterios.
Cabe destacar que a partir de la vigencia de la NLFPDPPP los procedimientos en materia de protección de datos serán conocidos por la Secretaría; a pesar de ser esencialmente los mismos procedimientos que la LFPDPPP abrogada, es importante tener en cuenta que a diferencia del extinto INAI, la Secretaría no es un cuerpo colegiado, y tanto la estructura como los criterios de la Secretaría serán distintos. Destacando sobre todo que la Secretaría forma parte del Ejecutivo Federal, contrario a la naturaleza independiente, y constitucionalmente autónoma del INAI.
En esta novena versión de Rule The Rules, tuvimos como invitado a Andrés Cuevas Cardenas, Compliance Director para Latinoamérica en Emergent Cold.
Andrés destacó la importancia de que cada organización realice su propio análisis de riesgos y aborde el compliance según las necesidades específicas de cada industria.
