by Juan Manuel González | Ene 16, 2024 | Noticias
A propósito de una conversación relacionada con la nueva Ley de Delitos Económicos nos surgió la duda acerca de siexiste expresamente una obligación legal que me ordene someterme a las regulaciones internas de terceros relacionadoscon mi actividad. Lo anterior, considerando que, en caso de ser efectivo, esto implica que debo leer, conocer y aplicartodas las políticas y manuales de mis clientes y, eventualmente, de otros terceros.
En ese sentido, y al menos en cuanto toca a una relación contractual con clientes o contrapartes en un pie de igualdad denegociación, resulta razonable sostener que si yo suscribo un contrato con un tercero, en el cual se menciona expresamente mi completa oposición a la comisión de delitos al interior de mi organización, y cuento con un modelo deprevención vivo, controlado y actualizado regularmente, no debiese ser un imperativo el tener que someterme a laautorregulación de mis partes relacionadas.
Además de ser en cierta manera un tanto extremo exigir a todas las empresas que comulguen con cada una de las obligaciones internas de sus relacionados, que comúnmente dependen además de las necesidades, lógicas y técnicas jurídicas de cada regulación de origen, es tremendamente costoso —en términos de tiempo y eficiencia— pensar que cadacompañía tiene que someterse, pura y simplemente, a todas y cada una de las políticas y manuales que conforman elModelo de Prevención de Delitos de los terceros relacionados, sorteando de manera simultánea su potencial aplicación yvelando además para estar atento a las posibles modificaciones de cada uno de tales modelos (en servidores computacionales ajenos, e incluso, a veces extranjeros), que es lo que usualmente se pide aceptar, ex ante, en tal tipo de regulaciones.
Si bien la “obligación” referida precedentemente se inserta en el contexto de los elementos que debe contener un modelo de prevención de delitos, de acuerdo a lodispuesto en el artículo 3 N° 3 de la Ley N° 20.393, en la práctica se observa que estas obligaciones, prohibiciones y sanciones principalmente versan sobre elestablecimiento de prohibiciones específicas relativas a ciertos temas (e.g., realizar pagos de facilitación, adoptar decisiones mediando conflictos de interés no declarados,realizar actividades ilícitas en el contexto de la ejecución del contrato) y el cumplimiento de obligaciones tendientes a informar cualquier situación sospechosa a través delos canales de denuncia establecidos, entre otros puntos. Pero el problema, también práctico, radica en que la manera de abordar el cómo se implementan estasobligaciones, prohibiciones y sanciones para quienes contratan con otro ha consistido, por lo general, en el supuesto deber de tener que aceptar, como se señalaba, puray simplemente, la totalidad de un determinado Modelo de Prevención de Delito que se impone al otro, como condición de la celebración del respectivo contrato.
En consecuencia, y reflexionando sobre la real implementación de la nueva Ley de Delitos Económicos, resulta en cierto grado inviable, y, a su vez, excesivo, pensar quetodas las empresas deberán firmar las regulaciones internas de sus terceros relacionados y aceptarlas a fardo cerrado. Sin perjuicio de lo anterior, la no incorporación decláusulas relativas al cumplimiento del modelo de prevención de delitos sí podrían acarrear al proveedor riesgos al momento de acreditar el cumplimiento de sus deberesde dirección y supervisión, sobre todo cuando lo que esté en cuestionamiento, eventualmente, sea la responsabilidad de la persona jurídica por actos delictivos cometidosen el contexto de la relación contractual proveedor/cliente.
Desde una perspectiva práctica, cabe hacer presente que una situación grave y relevante que implique la comisión de un ilícito requerirá abordar las potencialescontingencias penales como una primera prioridad, lo que permitirá mitigar tempranamente los eventuales riesgos contractuales referidos al incumplimiento de estascláusulas.
Así las cosas, hoy día resulta fundamental revisar los contratos con mis terceros relacionados y no descansar en que existe una cláusula tipo idéntica en todos estos y quedebe ser aceptada de manera automática o sine qua non para celebrar el contrato. Pensamos que se pueden establecer puntos de base esenciales, de objetivoscomunes, con miras a salvaguardar los bienes jurídicos protegidos en la Ley N° 20.393, como son las obligaciones, prohibiciones y sanciones ya comentadas, y afinarcontractualmente los puntos relevantes para ambas partes, pero ello no significa que deba obligatoriamente someterme a la regulación interna de mis proveedores yclientes.
Por cierto, como parte de tales bases esenciales, los controles mediante los contratos y monitoreo del correcto cumplimiento de los servicios acordados en este serán unacoraza importante en el eventual caso que dicho tercero cometa un delito en el contexto de las funciones materia de mi contrato.
* Francisca Franzani es directora del grupo de Compliance de Albagli Zaliasnik y Andrés Illanes es gerente de Asuntos Corporativos de Bodegas San Francisco.
Fuente: El Mercurio
Para obtener más información puede contactar a:
Francisca Franzani | Directora Grupo Compliance | ffranzani@az.cl
by Juan Manuel González | Abr 27, 2023 | Noticias
La Protección de Datos Personales se ha convertido en un tema de creciente preocupación en todo el mundo, y América Latina no es una excepción.
Con el aumento del uso de la tecnología y la digitalización de la información, la privacidad y la seguridad de los datos personales es un factor crítico para empresas, gobiernos y ciudadanos por igual. En este contexto, el compliance es esencial para garantizar el cumplimiento de las leyes y regulaciones aplicables por jurisdicción y proteger los derechos de autodeterminación informativa de los individuos.
Sobre la experiencia que aportan los especialistas de las firmas miembros de Compliance Latam, podemos identificar una serie de factores claves que son comunes en la mayoría de los países de la región.
• Cumplimiento legal: El cumplimiento de las leyes de protección de datos personales es obligatorio para las empresas que operan en América Latina. Cada país tiene su propia legislación en materia de protección de datos. El no cumplimiento de estas leyes puede dar lugar a sanciones significativas, incluyendo multas, y daños a la reputación de la empresa. Chile se encuentra próximo a tener una ley de protección de datos acorde a los estándares europeos. En este sentido, el compliance en protección de datos es esencial para evitar posibles sanciones y asegurar el cumplimiento legal.
• Confianza del cliente: La confianza del cliente es un activo intangible valioso para cualquier empresa. Los consumidores están cada vez más preocupados por la protección de sus datos y esperan que las empresas utilicen adecuadamente su información personal. El incumplimiento de las leyes de protección de datos puede tener un impacto negativo en la percepción de la empresa por parte de su público y puede resultar en una pérdida de confianza. En cambio, el cumplimiento adecuado de las normas de protección de datos puede fortalecer la reputación de la empresa y mejorar la relación con los clientes, lo que a su vez puede tener un impacto positivo en la retención de los mismos y en la generación de nuevos negocios.
• Competitividad en el mercado: El cumplimiento en la protección de datos puede conferir una ventaja competitiva a las empresas en América Latina. En un entorno empresarial cada vez más globalizado, el cumplimiento de las leyes de protección de datos puede ser un diferenciador clave para las empresas que buscan expandirse en mercados internacionales o establecer relaciones comerciales con empresas de la Unión Europea o Estados Unidos.
• Mitigación de riesgos: El cumplimiento en la protección de datos también ayuda a mitigar riesgos legales y reputacionales para las empresas. El incumplimiento de las leyes de protección de datos puede tener consecuencias graves, incluyendo demandas, sanciones económicas y daños a la reputación de la empresa. Además, en América Latina, algunas leyes de protección de datos, como la Ley N° 25.326 en Argentina, contemplan la responsabilidad penal de las empresas y de sus directivos en caso de incumplimiento.
• Mejora de la cultura organizacional: El compliance en la protección de datos también puede tener un impacto positivo en la cultura organizacional de las empresas. La protección de la información y su correcto tratamiento no sólo afecta a clientes o terceros, sino que también involucra a los trabajadores de las entidades. Un modelo de cumplimiento apropiado en la materia podría incluso aumentar el compromiso de los colaboradores.
Es importante tener en cuenta que las leyes varían en cada país de América Latina, y es fundamental que las empresas estén en cumplimiento de las regulaciones específicas para la región en donde operan. Algunos países, como Ecuador, Urugua y Brasil, cuentan con regulaciones robustas en materia de protección de datos, mientras que otros están en proceso de implementación o actualización de sus leyes.
“En Chile, nos encontramos próximos a la promulgación de la Ley Sobre Protección de los Datos Personales, normativa que eleva el estándar de protección de los derechos de los titulares, generando nuevas obligaciones a los responsables del tratamiento. Adicionalmente, contempla la creación de una Agencia Nacional Protección de Datos, órgano autónomo que tendrá facultades de investigar, fiscalizar, normar y sancionar con multas de hasta 20.000 UTM a las entidades que no cumplan con su aplicación”, explica Constanza Pasarin, asociada de albagli-zaliasnik.
“En el 2021, Ecuador expidió su primera ley de protección de datos personales. Esta Ley, inspirada en estándares europeos, ha significado la adopción de estándares de protección muy elevados. Esto ha generado muchas oportunidades y restos. Con respecto a las oportunidades, la protección de datos personales en un país que no estaba acostumbrado a hacerlo implica una importante mejora en los derechos de sus ciudadanos al tener un marco que regula y protege el uso de sus datos”, comenta Daniel Castelo, Director de Bustamante Fabara. Y agrega: “Para las empresas ecuatorianas, si bien lograr la conformidad con las disposiciones de la Ley es un reto importante, una vez logrado, representa una oportunidad para su expansión en mercados con un alto nivel de protección como Europa. En un entorno cada vez más digitalizado, estas oportunidades cobran más relevancia. En ese sentido, un adecuado cumplimiento de la normativa de protección de datos no solo evita cuantiosas multas, sino que también prepara a las compañías para su inserción en mercado internacionales.”
El compliance en la protección de datos personales es de vital importancia porque el cumplimiento de la normativa contribuye a proteger los derechos de las personas, fortalecer la confianza del cliente, y mejorar la competitividad en el mercado mitigando riesgos.
Para León Weinstok, Director de BLP Costa Rica, “un manejo inadecuado de los datos personales de los clientes, además de las eventuales demandas y reclamos que pueda generar, ocasionaría una pérdida de confianza de los consumidores hacia la marca. De esta forma, la desconfianza generada por el tratamiento inadecuado de la información sería trasladada a la empresa como tal, ocasionando una afectación a la imagen de la marca con la consecuente pérdida que ingresos que esto representa.”
Giuseppe Manini, Socio de CPB Abogados de Perú y especialista en la materia explica que “en el caso de Perú contamos con una Ley de Protección de Datos Personales que data desde el año 2011, sin embargo, su plazo de adecuación se extendió hasta inicios del 2015, año a partir del cual las fiscalizaciones por parte de la autoridad competente empiezan a tomar viada sin importar el tamaño o rubro del administrado e imponiéndose multas de hasta 100 UIT. Estas fiscalizaciones han ido incrementando en el tiempo, particularmente a través de la revisión de sitios web o plataformas electrónicas. En ese sentido y a efectos de persuadir riesgos de infracciones, destacamos la necesidad de establecer medidas de seguridad en materia de protección de datos personales alineadas con la legislación aplicable y materializando adecuadamente el deber de información que por ley corresponde a quienes efectúen tratamiento de tales datos personales”.
Las empresas y organizaciones que tienen una cultura de cumplimiento no sólo evitan sanciones y consecuencias reputacionales, sino que también pueden obtener ventajas competitivas, lo que redunda en mejores oportunidades de negocios.
by Juan Manuel González | Nov 21, 2022 | Noticias
Uno de los temas que ha cobrado más relevancia en materia de ESG es la privacidad y protección de datos personales que deben implementar las empresas como una métrica fundamental respecto a los procesos y prácticas de gobierno y ética corporativa.
Dentro de las transacciones en las que las medidas de privacidad y protección de datos con las que cuenta una empresa o la falta de estas toman particular importancia es a través de los procesos de auditoria en operaciones de fusiones y adquisiciones (M&A).
A este respecto, los puntos relativos a privacidad y protección de datos a considerarse dentro de este tipo de transacciones son:
Auditoria legal
Uno de los pasos más relevantes en los procesos de M&A es la auditoria legal a la empresa o empresas que serán adquiridas o que participarán en el proceso de fusión.
Durante este proceso la empresa que será vendida o fusionada pone a disposición del posible adquirente cierta información, relacionada con sus clientes, proveedores y empleados, entre otros; dicha información puede incluir datos personales sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En virtud de lo anterior, algunas de las consideraciones más relevantes a tomar en cuenta son las siguientes:
- Verificar que la sociedad vendedora determine e identifique la información y datos personales que potencialmente serán divulgados como parte de la auditoría. Respecto de ellos, se debe solicitar los avisos de privacidad con los que cuente la parte vendedora, a fin de revisar que cumplan con los requisitos que establece la regulación de protección de datos en México. Por su parte, el potencial adquirente debe también determinar a quién se les dará acceso a los datos protegidos, incluyendo asesores externos que participarán en la auditoría.
- Previo a que se lleve a cabo la divulgación de datos personales, es indispensable confirmar con la vendedora que esta cuenta con los consentimientos necesarios para llevar a cabo la divulgación.
- Asumiendo que se cuenta con las autorizaciones correspondientes, una vez se determine y delimite la existencia y alcance de la divulgación tanto la parte vendedora como la parte compradora y los demás involucrados como la empresa objeto de la operación, o sus accionistas (dependiendo el alcance de la operación), deberán celebrar un convenio de transferencia de datos en el que establecerán las disposiciones relativas al alcance y contenido de la transferencia. Además, se debe proporcionar al tercero una copia del aviso de privacidad que se proporcionó a los titulares para que dicho responsable receptor procese los datos de la misma manera que el responsable cedente.
Todo el tratamiento de datos por parte del responsable receptor debe estar de acuerdo con el aviso de privacidad, y asumirá las mismas obligaciones que bajo la LFPDPPP, tiene el responsable que transfirió los datos.
Lo anterior, supone un proceso que debe revisarse detenidamente ya que de igual forma entra en juego el tema de confidencialidad de la operación y el manejo de comunicaciones con asesores externos, stakeholders, como empleados o clientes. Así como el resto de las obligaciones que, en materia de protección de datos, dependiendo del alcance de la operación, será relevante garantizar al interior de la empresa vendedora, por ejemplo, contar con medidas de seguridad necesarias y proporcionales.
- Posterior la firma del convenio antes establecido, la empresa vendedora podrá proporcionar al potencial comprador los datos personales para su análisis en los términos y parámetros establecidos en el convenio.
- Finalmente, para el cierre de la auditoria legal desde el punto de vista de protección de datos, existen dos posibles escenarios ya sea que la operación se concrete y por tanto se confirme la transferencia del “control” sobre los datos o bien que esta no se lleve a cabo y por tanto el potencial comprador no asuma dicho “control”. A este respecto, si la transacción se concreta, entonces la información será controlada por el adquirente quien deberá respetar los términos del aviso de privacidad bajo los cuales se obtuvo la información o bien obtener nuevamente el consentimiento de los titulares bajo su propio aviso o bien, de no concretarse el potencial adquirente deberá devolver, destruir o borrar la información que se utilizó en la auditoria de acuerdo a los términos del convenio de transferencia de datos que se hubiere firmado.
Para mayor información contactar a:
Juan José López de Silanes | Socio Basham, Ringe y Correa | lopez_de_silanes@basham.com.mx
by Juan Manuel González | Nov 18, 2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Mario Pinatte | Socio CPB | mpinatte@cpb-abogados.com.pe
by Juan Manuel González | Jun 17, 2022 | Noticias
El desarrollo y la adopción de la inteligencia artificial presentan una serie de desafíos, siendo en el ámbito laboral uno de los escenarios de mayor impacto por las variables e información a la que se puede tener acceso y que habilita a tomar decisiones de forma automatizada.
Por ello, con fecha 10 de junio de 2022, el Ministerio de Trabajo de España ha dado a conocer una “Guía práctica y herramienta sobre la obligación empresarial de información sobre el uso de los algoritmos en el ámbito laboral”, insumo a tener en cuenta por las organizaciones empresariales puesto que el modelo español siempre ha servido de base para la dictación del marco regulatorio en nuestro país. Más aún, cuando el documento es dictado con la finalidad de cumplir con las obligaciones que establece el Reglamento General de Protección de Datos española y la denominado “Ley Rider” (artículo 64 del Estatuto de los Trabajadores).
“Cada vez es más habitual que las empresas usen algoritmos o sistemas de inteligencia artificial para tomar decisiones de forma automatizada que afectan a las personas trabajadoras en materia de contrataciones, determinación de horarios, evaluación de rendimiento, control de productividad, ascensos, despido, etc. Métodos que, en ocasiones, pueden ser desconocidos para las propias personas trabajadoras o candidatas a un puesto de trabajo, que pueden considerar que dichas decisiones son tomadas por personas humanas”.
Extracto Guía información algorítmica en el ámbito laboral
La guía contiene 20 preguntas al objeto de que sea respondida por la empresa, y esté a disposición de los trabajadores con la finalidad de conocer y comprender los efectos del uso de algoritmos, así como sistematizar un único documento las obligaciones y derechos existentes en materia de información algorítmica.
Así, se contienen preguntas como las siguientes:
- Qué tipo de tecnología utiliza el algoritmo.
- Quién lo ha suministrado y cómo ha sido modificado.
- Para qué decisiones se utiliza y en qué variables se basa.
- Si hay intervención de personas cualificadas en los procesos de decisión y en qué medida participan.
Se trata en consecuencia de un avance e insumo de información que permite, de manera preventiva, y desde una lógica del Compliance permitir analizar los impactos regulatorios del derecho comparado y de qué forma pudiesen incidir en nuestro país en un contexto de masificación de la inteligencia artificial.
Lo anterior, considerando aún más que, con fecha 22 de marzo del presente el Congreso remitió al Presidente de la República el texto aprobado del Proyecto de Ley que regula y sanciona los delitos informáticos (Boletín 12.192-25), el cual consagra una normativa que incorpora nuevos tipos penales que buscan resguardar la intromisión a los sistemas informáticos y el uso indebido de datos personales, siendo incluso aplicables a la persona jurídica.
En la misma línea, será necesario tener en consideración que el proyecto de ley de protección de datos personales (boletines refundidos N°11144-07 y N°11092-07), hoy en segundo trámite constitucional, sigue el modelo europeo en lo que respecta al derecho de oposición a valoraciones personales automatizadas. Esto significa que los empleadores deberán asegurar a los titulares–en este caso los trabajadores–, el derecho a obtener intervención humana en el tratamiento automatizado de sus datos (incluida la elaboración de perfiles laborales), a expresar su punto de vista y a solicitar la revisión de la decisión de que se trate.
Para obtener más información sobre estos temas pueden contactar a nuestros equipos Laboral – Compliance – IP, Tech and Data:
Francisca Franzani | Directora Grupo Compliance | ffranzani@az.cl
Jorge Arredondo | Socio | jarredondo@az.cl
Eugenio Gormáz | Socio | egormaz@az.cl
Natalia González | Asociada | ngonzalez@az.cl
Constanza Pasarin | Asociada | cpasarin@az.cl
