Investigaciones Internas Corporativas: Una Mirada desde el Compliance: la obra que busca revolucionar la práctica del Compliance en Chile.
La destacada abogada y experta en Compliance, Rebeca Zamora Picciani, presentó su nuevo libro Investigaciones Internas Corporativas: Un enfoque desde el Compliance, una obra que llega en un momento clave tras la reciente entrada en vigencia de la Ley Karin, y las modificaciones que la Ley N° 21.595 de Delitos Económicos y Medioambientales introduce a la Ley 20.393 sobre Responsabilidad Penal de la Persona Jurídica.
La publicación, que promete convertirse en material de referencia para profesionales del área, otorga conocimientos teóricos y normativos con el fin de abordar de manera exhaustiva los procedimientos de investigación interna en las organizaciones, incluyendo aspectos fundamentales como el manejo de denuncias, la protección de derechos fundamentales, los principios que deben regir estos procesos y aquellas cuestiones que se encuentren expresamente delimitadas en nuestra legislación.
Rebeca Zamora Picciani, actual socia de HD Compliance y socia encargada de las áreas Penal y Laboral en HD Legal, plasma en esta obra su amplia experiencia en el diseño e implementación de programas de cumplimiento normativo en diversas materias.
La autora señala que “este libro busca ser una guía teórico-práctica para las organizaciones que enfrentan el desafío de conducir investigaciones internas efectivas, especialmente en materias penales y laborales, que permitan resguardar de manera adecuada los derechos de todos los involucrados.”.
La obra resulta particularmente relevante en el contexto actual, donde las empresas enfrentan mayores exigencias en materia de cumplimiento normativo y responsabilidad penal corporativa. Como académica y docente de Derecho Penal y de Compliance, miembro activo de organizaciones como Women in Compliance Chile y la World Compliance Association, la autora aporta una perspectiva única que combina la rigurosidad académica con la experiencia práctica.
La presentación oficial del libro se realizó el día 20 de noviembre en la Universidad Adolfo Ibáñez. Entre los expositores se encontraron Margarita Walker; gerenta de Compliance de Entel; Jorge Arredondo, socio del estudio Albagli Zaliasnik; y Abigail Tapia, jueza del Juzgado de Letras del Trabajo de Antofagasta. El libro ya se encuentra disponible para su compra en Ediciones DER y promete ser una herramienta indispensable para abogados, oficiales de cumplimiento y profesionales involucrados en la gestión del Compliance corporativo.
¿Es necesario un Delegado de Protección de Datos Personales en Chile?
Camilo Sanhueza Seguel. Asociado del área de Compliance de HD Group. Abogado de la Pontifica Universidad Católica de Valparaíso. Diplomado © en Protección de Datos Personales P. Universidad Católica de Chile, Diplomado en Legal Management Program LatAm P. Universidad Católica de Valparaíso y Thomson Reuters, y Curso de Protección de Datos Personales Universidad del Desarrollo. Socio miembro de la Asociación de Profesionales de Protección de Datos Personales.
La interrogante sobre la necesidad de contar con un Delegado de Protección de Datos Personales en Chile, conocido internacionalmente como Data Protection Officer (DPO, por sus siglas en inglés), adquiere especial relevancia en el contexto del Proyecto de Ley que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales, en adelante, la “Ley”. Este se encuentra en sus últimas etapas de tramitación. El pasado 15 de noviembre de 2024, el Tribunal Constitucional aprobó y declaró constitucional la Ley mediante control preventivo, dejando pendiente únicamente su promulgación por parte del Presidente de la República y su publicación en el Diario Oficial. La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario oficial.
En este contexto, a pocos días de que se promulgue y publique la Ley, la figura del DPO resulta relevante, en orden a determinar si los organismos – públicos o privados – en su calidad de Responsables del tratamiento (quienes determinan los fines y medios del tratamiento) deben implementar al interior de sus organizaciones este nuevo rol, externalizarlo, o bien, simplemente omitir dicho nombramiento.
A partir de lo anterior, desarrollaremos sucintamente la figura del DPO y responderemos a la interrogante de que, si es necesario dicho cargo en Chile, considerando especialmente, que la propia Ley se refiere a él como la figura angular del Modelo de Cumplimiento / Prevención de Infracciones en materia de Protección de Datos Personales.
El rol del DPO: Definición y Funciones.
El DPO es el encargado de supervisar y garantizar el cumplimiento normativo en el tratamiento de los datos personales. Especialmente en Chile, es la figura central del Modelo de Cumplimiento en materia de protección de datos personales. En el ejercicio de sus funciones, debe actuar de forma independiente y neutral, dicha independencia debe ser en relación a la alta administración de la organización, en el sentido que debe actuar sin presiones o influencias, que no existan conflictos de interés al momento de ejercer su labor, debiendo ponderar los intereses del negocio en contraposición de los derechos y libertades de los titulares, priorizando y protegiendo a estos últimos. Lo anterior adquiere especial relevancia puesto que dicho cargo rinde cuenta directamente al más alto nivel jerárquico de la organización. Entre sus funciones, se encuentra el de informar y asesorar al Responsable, respecto a las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento. Su nombramiento debe atender a sus cualidades profesionales y a sus sólidos conocimientos especializados en protección de datos personales y prácticas asociadas, tales como privacidad por diseño y por defecto, evaluación de impacto, y atención a solicitudes de derechos ARCOP+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad), entre otras.
El DPO supervisa al Responsable, garantizando el cumplimiento de las normativas aplicables y sirviendo como punto de contacto entre él y los titulares de los datos, así como con la futura Agencia de Protección de Datos Personales. Sobre esta figura, resulta necesario aclarar que el DPO no es el sujeto obligado a cumplir con la Ley, sino que tal obligación recae en el Responsable. En este sentido, el DPO no se hace personalmente responsable por las consecuencias derivadas de las decisiones adoptadas por el Responsable en caso de incumplimientos, y aún menos cuando actúa en contravención directa de las recomendaciones que éste le pudiera dar.
Designación en Chile del DPO: ¿Obligatoria o Voluntaria?
En la actualidad, pocas empresas en Chile cuentan con un DPO. Esto ocurre principalmente en organizaciones multinacionales o grandes compañías que deben cumplir con estándares internacionales en esta materia, como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
La figura del DPO nace a propósito de la implementación voluntaria de un Modelo de Prevención de Infracciones, de conformidad a los artículos 49 y 50 de la Ley, en que se señala que, entre los elementos mínimos que este debe contener, se encuentra la designación de un DPO y la definición de sus medios y facultades. En consecuencia, si bien la designación de un DPO es voluntaria, salvo que la organización decida implementar el Modelo de Prevención antes señalado, en la práctica, con independencia de su adopción, es la figura por antonomasia en materia de protección de datos personales, es quién deberá garantizar el cumplimiento de la Ley ante la Agencia y ante los titulares, frente a cualquier fiscalización o ejercicio de derechos, respectivamente, y será el aliado dentro de la organización en orden a crear una cultura organizacional y sensibilización en materia de protección de datos personales. Adicionalmente y no menos importante, será el encargado de gestionar los riesgos ante eventuales incumplimientos, velar por el cumplimiento y ejecución de las medidas de detección, prevención y mitigación de infracciones a la Ley, asimismo como también, deberá adoptar las medidas técnicas y organizativas para garantizar su cumplimiento, asesorar a la entidad sobre la materia, y fortalecer la confianza frente a terceros y stakeholders.
Por otro lado, en relación con las características o cualidades que este nuevo rol debe reunir, el artículo 50 de la Ley, establece ciertos requisitos para el DPO, destacando su independencia, conocimientos específicos en protección de datos personales, deber de secreto o confidencialidad y la necesidad de ser nombrado por la máxima autoridad de la entidad. Este rol puede ser asumido por una persona interna a la organización o bien, se puede externalizar. En el caso de las PYMEs, el propietario podría desempeñar este papel, y para grupos empresariales, la Ley permite un único DPO para todas las entidades que operen bajo los mismos estándares y políticas en materia de protección de datos personales.
Perspectiva Internacional: el Estándar Europeo.
Como referencia a nivel internacional, en Europa, el RGPD establece en su artículo 37 que la designación de un DPO es obligatoria en tres casos específicos: (i) Cuando el tratamiento es realizado por una autoridad pública; (ii) Cuando las actividades principales del responsable o encargado incluyen tratamientos a gran escala que requieren un seguimiento habitual y sistemático de los titulares; y, (iii) Cuando las actividades principales involucran categorías especiales de datos (similares a los datos sensibles) o datos relativos a condenas e infracciones penales.
Aunque para el caso chileno, la Ley no contempla esta obligatoriedad, la experiencia europea y lo señalado previamente, sugiere que la designación de un DPO resulta beneficioso para garantizar el cumplimiento normativo y proteger la privacidad de los titulares, especialmente en organizaciones que manejan grandes volúmenes de datos personales o datos sensibles, como podría ocurrir en el rubro del retail, Fintech, telecomunicaciones, bancario, educacional, salud, u organismos sin fines de lucro como las fundaciones o corporaciones, entre otros.
Beneficios de contar con un DPO
Independientemente de la obligatoriedad, contar con un DPO aporta valor estratégico y operativo a las organizaciones. Este profesional asegura el cumplimiento normativo, protege los derechos de los titulares y previene sanciones. Además, en el ejercicio de sus funciones y atribuciones, permite generar valor a través de, entre otras cosas: (i) Fortalecer la confianza de los clientes y usuarios al demostrar un compromiso con la protección de los datos personales; (ii) Facilitar la gestión de riesgos en el tratamiento de los datos; (iii) Actuar como intermediario entre la organización, los titulares y la Agencia de Protección de Datos Personales; (iv) Impulsar la cultura de cumplimiento y sensibilización dentro del organismo; (v) Generar confianza para el desarrollo de nuevos negocios, especialmente, en materia de transferencias internacionales, en que se preferirá elegir aquél que disponga de un Compliance de Datos Personales robusto frente a otro que no cumpla con dicho estándar, considerando especialmente que hoy en día, ante la Comisión Europea, Chile, no es considerado como un país “adecuado” en materia de protección de datos personales, y que la Ley tiene por objeto subsanar dicha deficiencia.
¿DPO Interno o Externo?
La figura del DPO no necesariamente debe ser desempeñada por un abogado, pero quien lo desempeñe, sí requiere conocimientos especializados en protección de datos. Como adelantamos más arriba, este rol puede ser ejercido de manera interna o externa en la organización, es decir, por un empleado actual o por un externo contratado por el Responsable. Ahora bien, un DPO interno aporta un valor añadido significativo, ya que tiene un conocimiento profundo de la cultura organizacional y del sector en el que se desempeña la empresa, lo que le permite actuar como un aliado en la búsqueda de soluciones adecuadas, facilitar la comunicación entre las distintas áreas de la organización y comprender de mejor manera la realidad de la compañía. En cambio, si se opta por un DPO externo, esta alternativa también beneficiosa, ofrece independencia y experiencia especializada en organizaciones que carecen de recursos internos suficientes para cubrir esta posición. Adicionalmente, no habría inconveniente en designar “subdelegados de protección de datos personales” en áreas críticas como el departamento Legal/Compliance, TI, Recursos Humanos, entre otros. Estos subdelegados pueden reportar directamente al DPO externo e independiente, para alinear los intereses de la compañía con los derechos de los titulares, siempre que se definan claramente sus funciones, responsabilidades, acceso a la alta dirección y se eviten posibles conflictos de interés.
En ambos casos, es fundamental que el DPO tenga acceso a los recursos necesarios, especialmente económicos para el adecuado cumplimiento de sus funciones, que reciba formación continua y cuente con la independencia necesaria para ejercer su función sin interferencias y represalias, como podría ser la desvinculación o aplicación de sanciones por parte del Responsable, situación que se anticipó en el contexto europeo, el artículo 38 del RGPD, dispone que el DPO no podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones, y que no podrá ser destituido ni sancionado por el Responsable por desempañar sus funciones.
Conclusiones y Recomendaciones.
La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario Oficial, por lo que dicho plazo será el referente para que los Responsables puedan dar comienzo a su implementación y cumplimiento, es esencial que las organizaciones tomen decisiones internas destinadas a implementar las acciones que sean necesarias para adaptarse a las nuevas exigencias que trae consigo la nueva Ley, especialmente sobre la adopción de un Modelo de Cumplimiento y la designación de un DPO. A partir de la experiencia europea, en donde se estableció un plazo idéntico al de nuestra Ley, este plazo de dos años sería insuficiente, por lo tanto, recomendamos que las organizaciones comiencen de inmediato a establecer una gobernanza de datos y definir responsables, además de decidir si se limitarán estrictamente a lo dispuesto en la Ley o adoptarán una cultura organizacional de cumplimiento. Estas importantes decisiones, deben tomarse a nivel directivo pues marcaran el actuar de la organización a futuro en esta materia que se traducirán en un plan de acción que permita aprovechar la ventaja competitiva que el cumplimiento de altos estándares en protección de datos personales le dará a la organización.
Finalmente, se debe considerar para la designación de un DPO, que este debe contar con integridad y ética profesional y conocimientos sólidos en protección de datos personales. El profesional electo como DPO debe ser capaz de fomentar una cultura de cumplimiento, asesorar a la alta administración, monitorear el cumplimiento normativo y supervisar la implementación y cumplimiento de un Modelo de Prevención de Infracciones asociado a una Matriz de Riesgos en protección de datos personales. Para el éxito de su cometido, será crucial que tenga la debida autonomía e independencia para tomar decisiones en esta materia, asimismo, la debida resiliencia frente a resistencias internas, no teniendo que ceder a presiones de la alta dirección, asegurando la observancia del Modelo y las nuevas exigencias establecidas en la Ley.
Nuestra socia, Rebeca Zamora, fue entrevistada por el DF sobre la nueva ley de Datos Personales y su impacto en el compliance.
“Su entrada en vigencia representa un cambio significativo para las organizaciones”, dijo. Además, nuestra socia se refirió a las modificaciones que deberá realizar el mundo corporativo para cumplir con las exigencias legales y mitigar riesgos asociados
Lee más:
Nuestro socio, Matías Langevin, fue nuevamente entrevistado por El Mercurio; esta vez, para hablar sobre la inscripción de las fintech en la Comisión para el Mercado Financiero (CMF) .
“Hay temas en donde faltan certezas regulatorias, más aún si un par de meses antes de que venza el plazo de registro y autorización se propone una modificación de la norma central que regula la materia”, dijo nuestro socio.
Lee la nota completa en la imagen adjunta.
Nuestro socio, Matías Langevin, fue entrevistado por El Mercurio sobre el rol de la industria fintech en la transmisión de la política monetaria (PM) de los países y en la función que cumplen respecto a la mantención de la hashtag#economía y el sistema financiero.
“Puede haber una potencial dificultad de liquidez en momentos críticos, pero eso se soluciona internalizando las cripto en la ecuación monetaria para la PM o, al menos, dándole una convertibilidad”, mencionó nuestro socio.
Revisa todo lo que dijo acá :
Con fecha 18 de noviembre de 2024, la Comisión para el Mercado Financiero (CMF) publicó la Norma de Carácter General 521 (NCG 521), que modifica la Norma de Carácter General 503 (NCG 503), con el fin de perfeccionar el proceso de transición al nuevo mecanismo de acreditación de conocimientos regulado en dicha normativa.
Fuente: El Mercurio
Colaboración y regulación adecuadas son esenciales para evitar los riesgos de la economía paralela y asegurar un desarrollo sostenible, con una adecuada trazabilidad.
La industria fintech tiene un rol relevante en la transmisión de la política monetaria (PM) de los países, pudiendo influir positiva o negativamente en la misión de los bancos centrales de mantener la estabilidad de la economía y del sistema financiero.
Así lo planteó la presidenta del Banco Central Europeo, Christine Lagarde, en el marco de la conferencia Michel Camdessus sobre la banca central organizada por el Fondo Monetario Internacional (FMI) en septiembre pasado. “La naturaleza digital y la inmediatez inherente al pujante sector fintech pueden ser aliadas de los bancos centrales en la transmisión de su PM o, por el contrario, pueden entorpecerla”, afirmó.
Los expertos enfatizan que el impacto de las finanzas digitales en la macroeconomía depende de la regulación existente, porque la oferta de productos y servicios mediante instrumentos que estén fuera del ámbito de los bancos centrales y los reguladores pueden impactar en el uso del efectivo, depósitos a la vista, tasas de interés, endeudamiento, trazabilidad y seguridad de las operaciones financieras, entre otros.
Mario Ernst, profesor de Banca y Fintech de las universidades Católica y del Desarrollo, explica algunos de estos efectos.
El primero se relaciona con la masificación de plataformas internacionales de criptomonedas, que compiten con el efectivo y los depósitos a la vista de la banca. “Sustituir depósitos en saldos vista por monedas virtuales en plataformas internacionales podría disminuir los saldos vista de los bancos y, por lo tanto, elevar el costo de fondeo de la banca, con un impacto en la disminución del crédito, o al menos en un aumento de tasas. Y los bancos podrían tener mayores problemas en episodios de estrés por liquidez por efecto de la migración masiva de saldos vista hacia plataformas cripto”, explica.
Matías Langevin, socio y head Fintech de HD Legal, reconoce que “puede haber una potencial dificultad de liquidez en momentos críticos, pero eso se soluciona internalizando las cripto en la ecuación monetaria para la PM o, al menos, dándole una convertibilidad”.
Otro desafío dice relación con la trazabilidad de las operaciones, debido a que “se empieza a transar en una economía paralela, en la cual los bancos centrales pierden el control y la información”, dice Ernst. En este punto, Langevin acota que “en la medida en que los activos digitales estén regulados, aquellos que intermedien, custodien o sean tenedores de ellos deberán tener ciertas obligaciones periódicas de reporte al regulador, para efectos de tener la trazabilidad deseada”.
La regulación es otro aspecto relevante. El FMI sugiere que el potencial disruptivo de las fintech puede ser aprovechado si se integran adecuadamente en el marco regulador. La industria, por su parte, plantea que dicha normativa debe ser equilibrada, de modo que promueva tanto la innovación como la seguridad del sistema, asegurando que las plataformas tecnológicas sean bien gestionadas, apoyen la inclusión financiera y faciliten el acceso a servicios financieros eficientes y seguros.
En Fintechile valoran el entorno regulado y normado que tiene la industria local, con la promulgación de la Ley Fintech. “En lugar de ignorar los retos que trae el avance del sector, el Banco Central ha trabajado junto a otras instituciones regulatorias para fortalecer la inclusión financiera y fomentar una mayor competencia en el mercado”, afirma su presidente, José Gabriel Carrasco, quien advierte que “aún hay aspectos que mejorar para consolidar un entorno más robusto y seguro para todos los actores del sistema financiero”.
Finalmente, Matías Langevin advierte que “las fintech no son solo activos digitales, sino que involucran muchos otros campos como open banking,lending, temas de plataformas, etc., que pueden contribuir de diversas maneras a la política monetaria, partiendo por la posibilidad de que las fintech de pagos reporten a las autoridades de forma tal de contribuir a la trazabilidad”.
El FMI plantea que el potencial disruptivo de las fintech debe ser integrado apropiadamente en el marco regulador.
El 15 de noviembre de 2024 se publicó en el Diario Oficial, la Ley N°21.708, en adelante, la ‘‘Ley’’. La presente Ley introduce cambios a la Ley N°19.496, ley que regula la protección de los derechos de los consumidores, en adelante ‘‘LPDC’’, estableciendo nuevos deberes para los proveedores de servicio de telecomunicaciones.
La Ley viene a modificar el Artículo 30 de la LDPC, que se refiere a la obligación de los proveedores de dar conocimiento al público de los bienes y/o servicios que ofrecen.
El Servicio de Impuestos Internos (SII) ha emitido la Resolución Exenta N° 107, de fecha 14 de noviembre de 2024, que introduce importantes cambios en el régimen de tributación simplificada del IVA aplicable a contribuyentes sin domicilio ni residencia en Chile. La medida entrará en vigencia el próximo 1 de diciembre de 2024 y tiene como objetivo alinear las disposiciones actuales con las modificaciones establecidas en la Ley N° 21.713, optimizando la recaudación fiscal y simplificando el cumplimiento tributario.
El pasado 11 de noviembre de 2024, se publicó el Decreto Supremo Nº 47 del Ministerio del Medio Ambiente, el cual establece nuevas regulaciones y metas de recolección, valorización y otras obligaciones para los productores de aceites lubricantes en Chile. Este decreto es un avance en el marco de la Ley 20.920, que establece la Responsabilidad Extendida del Productor (REP) y el fomento al reciclaje, toda vez que suma un tercer producto prioritario establecido en la Ley REP, además de neumáticos y envases y embalajes. El objetivo del nuevo decreto es reducir la contaminación generada por los aceites lubricantes usados, considerados residuos peligrosos, fomentando su adecuado manejo y valorización. A continuación, destacamos los aspectos y cambios relevantes que deberán ser considerados para su cumplimiento.