El pasado 22 de enero del presente año, la Superintendencia de Seguridad Social (“SUSESO”) ha modificado el Libro IV. respecto a Prestaciones Preventivas del Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales de la Ley N°16.744, mediante su Circular Nº 3854, en adelante, la “Circular”; con la finalidad de generar directrices a organismos administradores y empresas con administración delegada para el reporte y registro de denuncias por acoso sexual, laboral y violencia en el trabajo, en contexto de la promulgada “Ley Karin”.

El 28 de enero de 2025 se publicó en el Diario Oficial, el Decreto N°12 del Ministerio de Ciencia, Tecnología, Conocimientos e Innovación, que actualiza la ‘‘Política Nacional de Inteligencia Artificial’’, en adelante la ‘‘Política’’, la cual tuvo su primera edición en septiembre de 2021.

La nueva actualización de la Política conserva y reafirma el horizonte temporal extendiendo su aplicabilidad hasta el año 2031, buscando en dicho periodo asegurar la coherencia en la implementación de las acciones delineadas, siendo un fiel reflejo del compromiso en el desarrollo sostenido y responsable de la Inteligencia Artificial, en adelante ‘‘IA’’, en el país.

Fuente: Estado Diario

El acoso laboral “por rebote”: Una nueva dimensión en la protección de los trabajadores.

A raíz de la reciente entrada en vigencia de la Ley N°21.643 (“Ley Karin”) y la consiguiente modificación del Código del Trabajo en materias de acoso laboral, sexual y violencia en el trabajo, resulta necesario analizar ciertas dimensiones de estos fenómenos que, si bien no se encuentran expresamente reguladas, pueden derivarse de una interpretación sistemática del ordenamiento jurídico laboral vigente.

Una de estas dimensiones cobra particular relevancia: el análisis de aquellas situaciones en las que trabajadores que no son objeto directo de conductas de acoso laboral, se ven igualmente afectados por el ambiente nocivo que estas generan, concepto que denominaremos como “acoso o violencia por rebote”, situación que podría se cotidiana. Por tanto, para delimitar conceptualmente la existencia de esta figura y las obligaciones que de ella emanan para el empleador, debemos analizar diversos elementos normativos que nos permiten sostener su procedencia.

En primer lugar, la definición de acoso laboral contenida en el artículo 2° letra b) del Código del Trabajo señala que: “El acoso laboral, entendiéndose por tal toda conducta que constituya agresión u hostigamiento ejercida por el empleador o por uno o más trabajadores, en contra de otro u otros trabajadores, por cualquier medio, ya sea que se manifieste una sola vez o de manera reiterada, y que tenga como resultado para el o los afectados su menoscabo, maltrato o humillación, o bien que amenace o perjudique su situación laboral o sus oportunidades en el empleo”. En este sentido, el legislador establece que este puede manifestarse “por cualquier medio” y que su resultado puede ser tanto “el menoscabo, maltrato o humillación” como “amenazar o perjudicar su situación laboral o sus oportunidades en el empleo”. Esta amplitud en la definición permite sostener que los efectos del acoso no necesariamente deben provenir de una conducta dirigida específicamente contra el trabajador afectado, sino que pueden derivar del ambiente laboral tóxico generado por conductas de acoso dirigidas contra otros trabajadores.

En segundo lugar, el deber general de protección establecido en el artículo 184 del Código del Trabajo obliga al empleador a “tomar todas las medidas necesarias para proteger eficazmente la vida y salud de los trabajadores“, obligación que ha sido interpretada de manera amplia por la jurisprudencia administrativa y judicial. En esta línea, la Dirección del Trabajo ha señalado reiteradamente (ORD N°3049/2016 y ORD N°884/2021) que esta obligación comprende no solo la protección de la integridad física, sino también la salud mental de los trabajadores.

Un tercer elemento que refuerza esta interpretación se encuentra en la propia historia de la Ley Karin, la que en su moción parlamentaria (Sesión 34, 14 de junio de 2022) enfatiza la necesidad de promover “una cultura al interior de cada empresa, en torno a la prevención de los riesgos laborales, especialmente aquellos que se materializan en una afectación de la salud mental de los trabajadores, con ocasión de alguna conducta desarrollada en función del trabajo“. Esta declaración evidencia que el fin de la norma no es solo proteger a las víctimas directas, sino generar ambientes laborales saludables para todos los trabajadores.

La figura del acoso por rebote cobra especial sentido cuando analizamos las dinámicas típicas del acoso laboral. En efecto, cuando en un espacio de trabajo se generan situaciones de hostigamiento, estas raramente afectan solo a la víctima directa. Los testigos de estas conductas pueden experimentar estrés, ansiedad y temor de convertirse en futuras víctimas y de sufrir represalias por sus declaraciones, lo que afecta su desempeño laboral y bienestar psicológico. Además, el clima laboral deteriorado puede impactar negativamente en las relaciones interpersonales, la productividad y la satisfacción laboral de todo el equipo.

En este contexto, sostenemos que el empleador tiene la obligación de adoptar medidas correctivas no solo respecto de las víctimas directas del acoso, sino también en favor de aquellos trabajadores que se ven afectados por rebote. Esta obligación de implementación de medidas se fundamenta el el deber general de protección del artículo 184 del Código del Trabajo y, asimismo, en que el Reglamento de la Ley Karin, al definir las medidas correctivas en su artículo 3° letra g), las define como: “Son aquellas medidas que se implementan por el empleador para evitar la repetición de las conductas investigadas conforme al procedimiento regulado en el presente reglamento, sean o no sancionadas, las que deberán establecerse en las conclusiones de la investigación y materializarse, en los casos que corresponda, en la actualización del protocolo de prevención de acoso sexual, laboral y de violencia en el trabajo.” El hecho de que las conductas investigadas, aún en caso de que no sean sancionadas, puedan o deban dar lugar a medidas correctivas, permite concluir que el fin de la norma no es solo generar mecanismos de protección a las víctimas, sino que también mecanismos de prevención e, inclusive, de reparación para otros trabajadores involucrados indirectamente afectado

La falta adopción de estas medidas de forma comprensiva y no limitada sólo a las víctimas directas del acoso, podría configurar un incumplimiento grave a las obligaciones del empleador, especialmente considerando el deber general de protección contenido en el artículo 184 del Código del Trabajo.

Esta interpretación se ve reforzada por la tendencia del derecho laboral moderno a privilegiar enfoques preventivos y sistémicos en materia de riesgos psicosociales. Por tanto, el reconocimiento del acoso por rebote como una dimensión que requiere atención y protección específica se alinea con los principios protectores del derecho laboral y con la evolución hacia ambientes de trabajo más saludables y seguros.

En conclusión, si bien el acoso por rebote no se encuentra expresamente regulado en nuestra legislación, su reconocimiento y la consecuente obligación del empleador de adoptar medidas al respecto se desprende naturalmente de una interpretación sistemática de nuestro ordenamiento jurídico en esta materia. Este reconocimiento no solo beneficia a los trabajadores afectados, sino que también contribuye a la construcción de espacios laborales más saludables y productivos, alineándose así con los objetivos fundamentales de la legislación laboral moderna.

Con fecha 13 de diciembre de 2024, se publicó en el Diario Oficial la Ley N°21.719, que modifica la Ley N°19.628, en adelante, la “Ley”, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.

Fuente: Estado Diario

Investigaciones Internas Corporativas: Una Mirada desde el Compliance: la obra que busca revolucionar la práctica del Compliance en Chile.

La destacada abogada y experta en Compliance, Rebeca Zamora Picciani, presentó su nuevo libro Investigaciones Internas Corporativas: Un enfoque desde el Compliance, una obra que llega en un momento clave tras la reciente entrada en vigencia de la Ley Karin, y las modificaciones que la Ley N° 21.595 de Delitos Económicos y Medioambientales introduce a la Ley 20.393 sobre Responsabilidad Penal de la Persona Jurídica.

La publicación, que promete convertirse en material de referencia para profesionales del área, otorga conocimientos teóricos y normativos con el fin de abordar de manera exhaustiva los procedimientos de investigación interna en las organizaciones, incluyendo aspectos fundamentales como el manejo de denuncias, la protección de derechos fundamentales, los principios que deben regir estos procesos y aquellas cuestiones que se encuentren expresamente delimitadas en nuestra legislación.

Rebeca Zamora Picciani, actual socia de HD Compliance y socia encargada de las áreas Penal y Laboral en HD Legal, plasma en esta obra su amplia experiencia en el diseño e implementación de programas de cumplimiento normativo en diversas materias.

La autora señala que “este libro busca ser una guía teórico-práctica para las organizaciones que enfrentan el desafío de conducir investigaciones internas efectivas, especialmente en materias penales y laborales, que permitan resguardar de manera adecuada los derechos de todos los involucrados.”.

La obra resulta particularmente relevante en el contexto actual, donde las empresas enfrentan mayores exigencias en materia de cumplimiento normativo y responsabilidad penal corporativa. Como académica y docente de Derecho Penal y de Compliance, miembro activo de organizaciones como Women in Compliance Chile y la World Compliance Association, la autora aporta una perspectiva única que combina la rigurosidad académica con la experiencia práctica.

La presentación oficial del libro se realizó el día 20 de noviembre en la Universidad Adolfo Ibáñez. Entre los expositores se encontraron Margarita Walker; gerenta de Compliance de Entel; Jorge Arredondo, socio del estudio Albagli Zaliasnik; y Abigail Tapia, jueza del Juzgado de Letras del Trabajo de Antofagasta. El libro ya se encuentra disponible para su compra en Ediciones DER y promete ser una herramienta indispensable para abogados, oficiales de cumplimiento y profesionales involucrados en la gestión del Compliance corporativo.

Fuente: Estado Diario

¿Es necesario un Delegado de Protección de Datos Personales en Chile?

Camilo Sanhueza Seguel. Asociado del área de Compliance de HD Group. Abogado de la Pontifica Universidad Católica de Valparaíso. Diplomado © en Protección de Datos Personales P. Universidad Católica de Chile, Diplomado en Legal Management Program LatAm P. Universidad Católica de Valparaíso y Thomson Reuters, y Curso de Protección de Datos Personales Universidad del Desarrollo. Socio miembro de la Asociación de Profesionales de Protección de Datos Personales.

La interrogante sobre la necesidad de contar con un Delegado de Protección de Datos Personales en Chile, conocido internacionalmente como Data Protection Officer (DPO, por sus siglas en inglés), adquiere especial relevancia en el contexto del Proyecto de Ley que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales, en adelante, la “Ley”. Este se encuentra en sus últimas etapas de tramitación. El pasado 15 de noviembre de 2024, el Tribunal Constitucional aprobó y declaró constitucional la Ley mediante control preventivo, dejando pendiente únicamente su promulgación por parte del Presidente de la República y su publicación en el Diario Oficial.  La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario oficial.

En este contexto, a pocos días de que se promulgue y publique la Ley, la figura del DPO resulta relevante, en orden a determinar si los organismos – públicos o privados – en su calidad de Responsables del tratamiento (quienes determinan los fines y medios del tratamiento) deben implementar al interior de sus organizaciones este nuevo rol, externalizarlo, o bien, simplemente omitir dicho nombramiento.

A partir de lo anterior, desarrollaremos sucintamente la figura del DPO y responderemos a la interrogante de que, si es necesario dicho cargo en Chile, considerando especialmente, que la propia Ley se refiere a él como la figura angular del Modelo de Cumplimiento / Prevención de Infracciones en materia de Protección de Datos Personales.

El rol del DPO: Definición y Funciones.

El DPO es el encargado de supervisar y garantizar el cumplimiento normativo en el tratamiento de los datos personales. Especialmente en Chile, es la figura central del Modelo de Cumplimiento en materia de protección de datos personales. En el ejercicio de sus funciones, debe actuar de forma independiente y neutral, dicha independencia debe ser en relación a la alta administración de la organización, en el sentido que debe actuar sin presiones o influencias, que no existan conflictos de interés al momento de ejercer su labor, debiendo ponderar los intereses del negocio en contraposición de los derechos y libertades de los titulares, priorizando y protegiendo a estos últimos. Lo anterior adquiere especial relevancia puesto que dicho cargo rinde cuenta directamente al más alto nivel jerárquico de la organización. Entre sus funciones, se encuentra el de informar y asesorar al Responsable, respecto a las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento. Su nombramiento debe atender a sus cualidades profesionales y a sus sólidos conocimientos especializados en protección de datos personales y prácticas asociadas, tales como privacidad por diseño y por defecto, evaluación de impacto, y atención a solicitudes de derechos ARCOP+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad), entre otras.

El DPO supervisa al Responsable, garantizando el cumplimiento de las normativas aplicables y sirviendo como punto de contacto entre él y los titulares de los datos, así como con la futura Agencia de Protección de Datos Personales. Sobre esta figura, resulta necesario aclarar que el DPO no es el sujeto obligado a cumplir con la Ley, sino que tal obligación recae en el Responsable. En este sentido, el DPO no se hace personalmente responsable por las consecuencias derivadas de las decisiones adoptadas por el Responsable en caso de incumplimientos, y aún menos cuando actúa en contravención directa de las recomendaciones que éste le pudiera dar.

Designación en Chile del DPO: ¿Obligatoria o Voluntaria?

En la actualidad, pocas empresas en Chile cuentan con un DPO. Esto ocurre principalmente en organizaciones multinacionales o grandes compañías que deben cumplir con estándares internacionales en esta materia, como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).

La figura del DPO nace a propósito de la implementación voluntaria de un Modelo de Prevención de Infracciones, de conformidad a los artículos 49 y 50 de la Ley, en que se señala que, entre los elementos mínimos que este debe contener, se encuentra la designación de un DPO y la definición de sus medios y facultades. En consecuencia, si bien la designación de un DPO es voluntaria, salvo que la organización decida implementar el  Modelo de Prevención antes señalado, en la práctica, con independencia de su adopción, es la figura por antonomasia en materia de protección de datos personales, es quién deberá garantizar el cumplimiento de la Ley ante la Agencia y ante los titulares, frente a cualquier fiscalización o ejercicio de derechos, respectivamente, y será el aliado dentro de la organización en orden a crear una cultura organizacional y sensibilización en materia de protección de datos personales. Adicionalmente y no menos importante, será el encargado de gestionar los riesgos ante eventuales incumplimientos, velar por el cumplimiento y ejecución de las medidas de detección, prevención y mitigación de infracciones a la Ley, asimismo como también, deberá adoptar las medidas técnicas y organizativas para garantizar su cumplimiento, asesorar a la entidad sobre la materia, y fortalecer la confianza frente a terceros y stakeholders.

Por otro lado, en relación con las características o cualidades que este nuevo rol debe reunir, el artículo 50 de la Ley, establece ciertos requisitos para el DPO, destacando su independencia, conocimientos específicos en protección de datos personales, deber de secreto o confidencialidad y la necesidad de ser nombrado por la máxima autoridad de la entidad. Este rol puede ser asumido por una persona interna a la organización o bien, se puede externalizar. En el caso de las PYMEs, el propietario podría desempeñar este papel, y para grupos empresariales, la Ley permite un único DPO para todas las entidades que operen bajo los mismos estándares y políticas en materia de protección de datos personales.

Perspectiva Internacional: el Estándar Europeo.

Como referencia a nivel internacional, en Europa, el RGPD establece en su artículo 37 que la designación de un DPO es obligatoria en tres casos específicos: (i) Cuando el tratamiento es realizado por una autoridad pública; (ii) Cuando las actividades principales del responsable o encargado incluyen tratamientos a gran escala que requieren un seguimiento habitual y sistemático de los titulares; y, (iii) Cuando las actividades principales involucran categorías especiales de datos (similares a los datos sensibles) o datos relativos a condenas e infracciones penales.

Aunque para el caso chileno, la Ley no contempla esta obligatoriedad, la experiencia europea y lo señalado previamente, sugiere que la designación de un DPO resulta beneficioso para garantizar el cumplimiento normativo y proteger la privacidad de los titulares, especialmente en organizaciones que manejan grandes volúmenes de datos personales o datos sensibles, como podría ocurrir en el rubro del retail, Fintech, telecomunicaciones, bancario, educacional, salud, u organismos sin fines de lucro como las fundaciones o corporaciones, entre otros.

Beneficios de contar con un DPO

Independientemente de la obligatoriedad, contar con un DPO aporta valor estratégico y operativo a las organizaciones. Este profesional asegura el cumplimiento normativo, protege los derechos de los titulares y previene sanciones. Además, en el ejercicio de  sus funciones y atribuciones, permite generar valor a través de, entre otras cosas: (i) Fortalecer la confianza de los clientes y usuarios al demostrar un compromiso con la protección de los datos personales; (ii) Facilitar la gestión de riesgos en el tratamiento de los datos; (iii) Actuar como intermediario entre la organización, los titulares y la Agencia de Protección de Datos Personales;  (iv) Impulsar la cultura de cumplimiento y sensibilización dentro del organismo; (v) Generar confianza para el desarrollo de nuevos negocios, especialmente, en materia de transferencias internacionales, en que se preferirá elegir aquél que disponga de un Compliance de Datos Personales robusto frente a otro que no cumpla con dicho estándar, considerando especialmente que hoy en día, ante la Comisión Europea, Chile, no es considerado como un país “adecuado” en materia de protección de datos personales, y que la Ley tiene por objeto subsanar dicha deficiencia.

¿DPO Interno o Externo?

La figura del DPO no necesariamente debe ser desempeñada por un abogado, pero quien lo desempeñe, sí requiere conocimientos especializados en protección de datos. Como adelantamos más arriba, este rol puede ser ejercido de manera interna o externa en la organización, es decir, por un empleado actual o por un externo contratado por el Responsable. Ahora bien, un DPO interno aporta un valor añadido significativo, ya que tiene un conocimiento profundo de la cultura organizacional y del sector en el que se desempeña la empresa, lo que le permite actuar como un aliado en la búsqueda de soluciones adecuadas, facilitar la comunicación entre las distintas áreas de la organización y comprender de mejor manera la realidad de la compañía. En cambio, si se opta por un DPO externo, esta alternativa también beneficiosa, ofrece independencia y experiencia especializada en organizaciones que carecen de recursos internos suficientes para cubrir esta posición. Adicionalmente, no habría inconveniente en designar “subdelegados de protección de datos personales” en áreas críticas como el departamento Legal/Compliance, TI, Recursos Humanos, entre otros. Estos subdelegados pueden reportar directamente al DPO externo e independiente, para alinear los intereses de la compañía con los derechos de los titulares, siempre que se definan claramente sus funciones, responsabilidades, acceso a la alta dirección y se eviten posibles conflictos de interés.

En ambos casos, es fundamental que el DPO tenga acceso a los recursos necesarios, especialmente económicos para el adecuado cumplimiento de sus funciones, que reciba formación continua y cuente con la independencia necesaria para ejercer su función sin interferencias y represalias, como podría ser la desvinculación o aplicación de sanciones por parte del Responsable, situación que se anticipó en el contexto europeo, el artículo 38 del RGPD, dispone que el DPO no podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones, y que no podrá ser destituido ni sancionado por el Responsable por desempañar sus funciones.

Conclusiones y Recomendaciones.

La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario Oficial, por lo que dicho plazo será el referente para que los Responsables puedan dar comienzo a su implementación y cumplimiento, es esencial que las organizaciones tomen decisiones internas destinadas a implementar las acciones que sean necesarias para adaptarse a las nuevas exigencias que trae consigo la nueva Ley, especialmente sobre la adopción de un Modelo de Cumplimiento y la designación de un DPO. A partir de la experiencia europea, en donde se estableció un plazo idéntico al de nuestra Ley, este plazo de dos años sería insuficiente, por lo tanto, recomendamos que las organizaciones comiencen de inmediato a establecer una gobernanza de datos y definir responsables, además de decidir si se limitarán estrictamente a lo dispuesto en la Ley o adoptarán una cultura organizacional de cumplimiento. Estas importantes decisiones, deben tomarse a nivel directivo pues marcaran el actuar de la organización a futuro en esta materia que se traducirán en un plan de acción que permita aprovechar la ventaja competitiva que el cumplimiento de altos estándares en protección de datos personales le dará a la organización.

Finalmente, se debe considerar para la designación de un DPO, que este debe contar con integridad y ética profesional y conocimientos sólidos en protección de datos personales. El profesional electo como DPO debe ser capaz de fomentar una cultura de cumplimiento, asesorar a la alta administración, monitorear el cumplimiento normativo y supervisar la implementación y cumplimiento de un Modelo de Prevención de Infracciones asociado a una Matriz de Riesgos en protección de datos personales. Para el éxito de su cometido, será crucial que tenga la debida autonomía e independencia para tomar decisiones en esta materia, asimismo, la debida resiliencia frente a resistencias internas, no teniendo que ceder a presiones de la alta dirección, asegurando la observancia del Modelo y las nuevas exigencias establecidas en la Ley.

 

Nuestra socia, Rebeca Zamora, fue entrevistada por el DF sobre la nueva ley de Datos Personales y su impacto en el compliance.

“Su entrada en vigencia representa un cambio significativo para las organizaciones”, dijo. Además, nuestra socia se refirió a las modificaciones que deberá realizar el mundo corporativo para cumplir con las exigencias legales y mitigar riesgos asociados

Lee más:

El 15 de noviembre de 2024 se publicó en el Diario Oficial, la Ley N°21.708, en adelante, la ‘‘Ley’’. La presente Ley introduce cambios a la Ley N°19.496, ley que regula la protección de los derechos de los consumidores, en adelante ‘‘LPDC’’, estableciendo nuevos deberes para los proveedores de servicio de telecomunicaciones.

La Ley viene a modificar el Artículo 30 de la LDPC, que se refiere a la obligación de los proveedores de dar conocimiento al público de los bienes y/o servicios que ofrecen.

Fuente: Estado Diario

Conflicto de Intereses en Investigaciones Internas: Necesidad de establecer una política transparente de criterios por parte del empleador para una Gestión Ética y Eficaz

Rebeca Zamora

Cuando se habla de investigaciones internas, el conflicto de intereses aparece como un aspecto crucial que podría comprometer la imparcialidad del proceso y, por lo tanto, la confianza en los mecanismos de prevención dentro de una organización.

En términos sencillos, un conflicto de interés en el contexto de las organizaciones consiste en aquella circunstancia en la que la objetividad, independencia e imparcialidad requerida de un individuo en la toma de decisiones pueda verse comprometida por circunstancias personales de éste, en la cual puedan eventualmente primar sus intereses propios o de terceros relacionados, por sobre los intereses de la organización. Por tanto, diremos que, en el ámbito de una investigación interna, estas circunstancias recaen sobre quien se encuentre encargado de realizar la investigación.

Así las cosas, los conflictos de interés pueden afectar directamente a principios básicos en toda investigación interna, tales como independencia, imparcialidad, objetividad[1], e inclusive al debido proceso, pilar fundamental de toda investigación. En consecuencia, resulta esencial que las organizaciones cuenten con criterios específicos y métodos claros para identificar cuándo un investigador debe abstenerse de seguir conociendo o ser removido debido a un conflicto de interés y cuándo no es necesario.

En nuestro ordenamiento, en el caso de la Ley Karin, los conflictos de interés están regulados a propósito de la posibilidad de inhabilitar al investigador designado, ya que el artículo 14 del Reglamento de dicha Ley señala en su inciso segundo que “La persona denunciante o denunciada, al momento de prestar declaración en la investigación, podrá presentar antecedentes que afecten la imparcialidad de la persona a cargo de la investigación, pudiendo solicitar el cambio de la persona investigadora, circunstancia que el empleador decidirá fundadamente, pudiendo mantenerla o cambiarla, de lo anterior deberá quedar registro en el informe de investigación.”. Sin embargo, salvo este caso, no es un tema especialmente regulado a propósito de otras investigaciones internas, ni tampoco la Ley Karin desarrolla los criterios a aplicar.

Para gestionar los conflictos de interés, un buen primer paso consiste en la adopción de actividades de prevención, específicamente, en la implementación de un protocolo de transparencia que permita identificar y declarar cualquier situación potencialmente comprometedora. Este protocolo debe transparentar los criterios que implicarían falta de independencia, imparcialidad y/u objetividad del investigador.

Decidir si un investigador debe o no ser removido por un conflicto de interés debe basarse en criterios tales como:

Desarrollada esa política, debiera ser transparentada con la organización y conocida por todos. De otra manera ¿Cómo damos a conocer a los trabajadores las razones a esgrimir ante un investigador? O ¿De qué otro modo sabremos si el empleador tomó una decisión objetiva o fundada al acoger o rechazar esta especie de “recusación”?

Esta política y procedimiento debiera obligar al investigador a realizar una autoevaluación inicial y a declarar cualquier relación o interés que pueda comprometer su independencia, imparcialidad y objetividad. Si se identifica un conflicto de interés, el siguiente paso consiste en evaluar la naturaleza y gravedad del conflicto. Esto es fundamental, ya que, no todos los conflictos son necesariamente incompatibles con la función del investigador; en algunos casos, el conflicto puede ser mínimo y gestionarse mediante una supervisión adicional para asegurar la imparcialidad (por lo demás, es un ejercicio de honestidad intelectual el reconocer que las organizaciones no cuentan con recursos o personal idóneo ilimitados para externalizar todas las investigaciones). La participación de un supervisor que revise las decisiones del investigador, por ejemplo, permite asegurar que el proceso se mantenga en los estándares de objetividad y transparencia requeridos. Este tipo de supervisión puede incluir revisiones periódicas del trabajo realizado, auditorías sobre la documentación y la participación de un Comité de Compliance en puntos críticos de la investigación

Sin embargo, si el conflicto de interés tiene el potencial de influir significativamente en la investigación o en la percepción de su objetividad, la remoción del investigador se convierte en la opción más ética y adecuada, e incluso, siendo la situación ideal desde un punto de vista de ética corporativa, que sea el investigador mismo quien se abstenga de seguir conociendo un caso cuando entre en conocimiento de dichas circunstancias y lo reporte.

Si se determina que el investigador debe ser removido, la organización puede optar por reasignar el caso a otro miembro del equipo de cumplimiento. En aquellas situaciones en las que no haya personal disponible o en las que la imparcialidad de la investigación sea clave debido a la gravedad del asunto, puede ser preferible contratar a un investigador externo o a un auditor independiente.

En conclusión, el conflicto de interés en las investigaciones internas es una situación que debe gestionarse de manera cuidadosa para mantener la integridad y la transparencia del proceso. La remoción de un investigador debe ser decidida en función de la relación con las partes, la gravedad del conflicto, y el impacto potencial en la objetividad del resultado. Un proceso claro y transparente, con opciones tanto de reasignación como de supervisión, es fundamental para mantener la confianza en el sistema de cumplimiento de la organización y para garantizar que las investigaciones internas se realicen de manera justa y equitativa. La implementación de estos mecanismos no solo protege la imparcialidad, sino que también contribuye a reforzar una cultura de ética y responsabilidad dentro de la organización, alineada con los valores fundamentales del Compliance.

[1] Siendo estos algunos de los principios reconocidos expresamente en la norma ISO/TS 37008:2023

 

Fuente: Estado Diario

Impacto de los proveedores en la atribución de responsabilidad penal en las personas jurídicas. Estrategias para su gestión y tratamiento razonable y diligente.

La ley 21.595 introdujo una serie de cambios en la ley 20.393 sobre responsabilidad penal de las personas jurídicas (RPPJ), destacando entre ellos la modificación del artículo 3°.

Siguiendo al nuevo artículo 3 de la ley 20.303, una empresa puede ser responsable penalmente por aquellos delitos perpetrados por o con la intervención de personas que ocupen un cargo, función o posición en ella, o le preste servicios gestionando asuntos suyos ante terceros, con o sin su representación. Esta premisa pone el foco sobre la importancia de comprender la naturaleza de las relaciones entre las empresas y sus proveedores, sus contrapartes.

En ese sentido, es posible la aparición de ciertas confusiones que pueden desvirtuar el sentido de la norma. Justamente, para evitar esto es importante distinguir entre la naturaleza de los proveedores, tal como la ley lo hace en el texto del nuevo artículo 3°. Existen los proveedores que ocupan cargos, posiciones o funciones y los proveedores que prestan servicios gestionando asuntos ante terceros, y ambos pueden generar responsabilidad penal a la persona jurídica mandante.

Por lo tanto, hay dos premisas relevantes: 1) un cargo, función o posición no solo es ocupada por un trabajador en una empresa (la ley no habla de “trabajadores”) y, por lo tanto, 2) no solo el proveedor que gestiona asuntos ante un tercero puede implicar responsabilidad penal corporativa a la Persona Jurídica mandante.

Asimismo, podría ocurrir que tengamos proveedores externos ocupando cargos: un EPD externo (que, yendo a declarar a la Fiscalía, bien podría ofrecer una coima a un funcionario a cargo de la diligencia), funciones: un guardia de seguridad, o posiciones: un ITO o un Director. Todos ellos no gestionan asuntos ante terceros, pero se ubican de modo tal en la estructura de la empresa (inclusive por regla general en sus instalaciones), que van a interactuar igualmente con un funcionario público, un fiscalizador o podrían dar órdenes a trabajadores (porque así lo definió el empleador) o a otros proveedores que impliquen conductas delictivas. ¿Cómo negar que el guardia, perteneciente a un contratista, que paga una coima a un Funcionario Público para que no fiscalice, debió ser supervisado por algún mecanismo en la Persona Jurídica? Pretender que estas hipótesis no están abarcadas por el nuevo artículo 3 es equivalente a decir que en la subcontratación hay espacio a la impunidad.

Ahora bien, los proveedores que prestan servicios gestionando asuntos ante terceros desempeñan un papel más crítico en ese sentido. Aquellos, actuando con o sin representación, gestionan asuntos de la compañía, lo que en su sentido común se traduce en hacer diligencias conducentes al logro de un negocio (Diccionario de la Lengua Española), como la negociación de contratos o la gestión de relaciones institucionales, que pueden tener implicaciones legales y financieras directas para la empresa. Asimismo, la circunstancia de incluir los casos en que no exista representación no es una novedad, considerando que en el propio mandato la representación en la gestión del negocio no es un elemento de la esencia.

Si estos proveedores cometen delitos en el desempeño de sus funciones, la organización puede enfrentar responsabilidad penal si no ha implementado controles adecuados. ¿Por qué? Porque con o sin representación, se espera que la Persona Jurídica sea diligente en la supervisión de aquellos terceros que le sirven de apoyo en la obtención de permisos, asistencia a lobby, ante autoridades o poderes del estado, como un abogado actuando en un tribunal o ante un conservador. De hecho, este último es un buen ejemplo: un abogado no necesita un poder de representación para ingresar una inscripción en el conservador (cualquiera lo puede hacer) y bien podría cohechar a un funcionario de dicho organismo. ¿Por qué castigar? Porque se espera que la Persona Jurídica en un caso como ese, sabiendo que ha delegado una función o tarea en un tercero, lo supervise adecuadamente y le dé el delineamiento corporativo: la cláusula contractual, la rendición de un gasto no superior al respetivo impuesto, el honorario de mercado razonable, el reporte de gestiones, etc.

Lo anterior se suma al riesgo ya presente en el trato con proveedores, incluso de aquellos que no se encuentran en ninguna de las hipótesis recién descritas, el caso de aquellos proveedores cuya conducta puede servir de base para la comisión de un delito por parte de la propia Persona Jurídica. Acá vamos a ubicar, por ejemplo, a los proveedores de bienes, que bien podrían entregar a la Persona Jurídica bienes receptados y que ésta no pudiendo menos que saber, los reciba. Misma situación se da con el delito de lavado de activos, cuya tipificación incluso contempla una hipótesis culposa, al recibir bienes cuyo origen ilícito se ignoraba por negligencia inexcusable, esto es, por no contar con los controles debidos en sus procesos con proveedores.

Es necesaria la implementación de un Modelo de Prevención de Delitos (MPD) para la mitigación de estos riesgos. Este modelo debe adaptarse a la naturaleza específica y al tamaño de la empresa y debe incluir distintos elementos esenciales.

En primer lugar, debe contener evaluaciones de riesgo. Identificar y evaluar los riesgos asociados al rubro de los proveedores, especialmente aquellos que tienen el poder de actuar en nombre de la empresa.

En segundo lugar, deben contener procedimientos de Debida Diligencia. Realizar verificaciones exhaustivas antes de establecer relaciones con proveedores y mantener un monitoreo constante de sus actividades y prácticas.

Por último, es importante asegurar que todos los empleados comprenden los protocolos de la empresa respecto a la supervisión y gestión de proveedores y estén equipados para identificar y mitigar posibles riesgos asociados.

¿Cómo saber qué medida ocupar en uno u otro caso? En primer lugar, debemos clasificar los proveedores, entre aquellos que proveen bienes y los que entregan servicios. En los primeros, dependiendo la cantidad, naturaleza (si es tóxico, explosivo, etc.), si es un bien regulado (cobre, madera), habrá que determinar la pertinencia de documentación de respaldo a solicitar. En el caso de los servicios, su naturaleza, si representa o no ante terceros, si se relaciona o no con funcionarios públicos, si pone en riesgo la continuidad del negocio, si genera riesgos ambientales o laborales especiales, si accede a información confidencial en el desempeño de sus servicios, si accede a mi sistema informático, si administra recursos, si tiene poder de representación, si utiliza mi marca autorizadamente, si el contrato tiene pagos variables o reembolsos. En fin, el cumplimiento de X criterios nos dará distintos niveles de criticidad y distintas medidas a implementar. La cláusula contractual debe ir siempre, pero naturalmente en algunos casos se requerirá establecer obligaciones adicionales: dar cuenta de reuniones periódicas, entregar información ambiental o laboral, permitir auditorías, dar respaldos adicionales, etc.

La distinción entre los diferentes roles que pueden desempeñar los proveedores es crucial para determinar el alcance de la responsabilidad penal de una persona jurídica. Las empresas deben estar conscientes de estas diferencias y proactivamente establecer prácticas de supervisión rigurosas y protocolos adecuados, pero de manera razonable según riesgo. Al hacerlo, no solo protegen a la organización contra posibles sanciones penales, sino que también promueven una cultura corporativa de integridad y cumplimiento. Este enfoque no solo consiste en un mandato legal sino también en una estrategia prudente de gestión del riesgo, esencial para la sostenibilidad y la reputación corporativa a largo plazo. En fin, ninguna empresa puede ser ética si su control solo se limita a sus trabajadores y no a sus terceros.