Montiel y Riquelme - Introducción Al Criminal Compliance en La Ley 20.393

Capítulo IX
Introducción al criminal compliance

en la Ley n.º 20.393
Juan Pablo Montiel
Director de CRIMINT
Eduardo Riquelme Portilla

Doctor en Derecho. Abogado
I. APROXIMACIÓN AL FENÓMENO
Desde hace ya algo más de una década el compliance o cumplimiento
normativo aparece como un tópico indisolublemente ligado a la crimina-
lidad económica y ello explica que su tratamiento se haya tornado prácti-
camente ineludible en cualquier curso sobre Derecho penal económico
(Rotsch, 2012, pp. 4 y ss.). Si bien constituye un fenómeno que ha apare-
cido y se ha desarrollado históricamente con independencia de esta rama
del Derecho penal, su consolidación en nuestra cultura jurídica continen-
tal en los últimos tiempos obedece al rol que el compliance ha desempeña-
do especialmente en la prevención de la corrupción y el lavado de activos.
El compliance o cumplimiento normativo está asociado a una determi-
nada forma de organización que adopta una empresa, fundación, asocia-
ción, ente colectivo en general, para gestionar riesgos jurídicos. En este
sentido, un sistema de compliance es un sistema interno de gestión de ries-
gos jurídicos. Así como una empresa monta un determinado sistema para
ser más eficiente en la distribución de los bienes o servicios o se organiza
para que su producción sea de mayor calidad con el menor costo posible,
también una empresa se puede organizar internamente para prevenir, mi-
tigar o remediar eficientemente riesgos jurídicos.
¿Cuáles son estos riesgos jurídicos? Gran parte de las actividades desa-
rrolladas por personas jurídicas trae aparejada la creación de riesgos para
los intereses y bienes de terceros. Por ejemplo, la empresa que produce
medicamentos o alimentos genera simultáneamente el riesgo de afectar
la integridad física o la salud de sus consumidores cuando sus productos
poseen algún defecto. Pero esos riesgos no solamente están asociados a
304 Juan Pablo Montiel y Eduardo Riquelme Portilla
la posibilidad de afectar los bienes individuales de personas físicas, sino

también de afectar intereses colectivos, como el medio ambiente, la admi-
nistración pública, la libre competencia, etc. Llamamos riesgo jurídico a
esa posibilidad de que ciertos intereses tutelados por el Derecho sean afec-
tados a partir de la actuación de la persona jurídica o de quienes obran en
su representación. Una de las maneras de que se concreten dichos riesgos
es con la comisión de delitos o de cualquier otra infracción legal en “bene-
ficio” de la persona jurídica.
El compliance, por tanto, se refiere a la gestión de esos riesgos jurídicos.
Y esa gestión se lleva adelante mediante un conjunto de herramientas he-
terogéneas (pero integradas armónicamente), como protocolos y códigos
normativos, recursos humanos, políticas de comunicación, capacitaciones
de recursos humanos, etc. Lo más habitual es asociar un programa de com-
pliance o modelo de prevención (como lo denomina la Ley Nº 20.393) con
el conjunto de protocolos y políticas orientadas a prevenir la comisión de
delitos. Pero también recursos humanos (por ejemplo, el oficial de cum-
plimiento) constituyen herramientas esenciales de gestión de esos riesgos
o también otros elementos “inmateriales” como el llamado “tono ético de
la alta dirección” o tone at the top.
En resumen, de esta primera aproximación se pueden extraer las si-
guientes ideas:
El compliance es el conjunto coordinado e integrado de acciones, nor-
mativas y procedimientos internos orientados a la prevención, detección y
reacción frente a ilícitos (Kuhlen, 2013, p. 51).
Esas acciones, normativas y procedimientos internos constituyen herra-
mientas de gestión de riesgos jurídicos y entre esas herramientas podemos
mencionar aquí a título de ejemplo: Código de Ética, protocolos de pre-
vención de ilícitos, mapa de riesgos, oficial de cumplimiento, mecanismos
de control y supervisión de riesgos, investigaciones internas, canales de
denuncia, sistema disciplinario.
II. COMPLIANCE Y CRIMINAL COMPLIANCE

Como se mencionó supra, el compliance es un sistema interno de toda
persona jurídica destinado a gestionar riesgos jurídicos. Riesgos jurídicos
en general y no solamente de riesgos jurídico-penales. Esta aclaración es
muy importante porque el proceso de desenvolvimiento del cumplimiento
normativo en Latinoamérica y Europa estuvo fuertemente ligado a su rol
en el Derecho penal y más específicamente a su rol en la prevención de
Introducción al criminal compliance en la Ley n.º 20.393 305
delitos de corrupción pública y privada y de lavado de activos. Sin embar-

go, este proceso que experimentó el compliance en esta región no necesa-
riamente coincide con la que se dio, por ejemplo, en los Estados Unidos,
donde vemos manifestaciones previas en el Derecho del consumidor o en
el ámbito de los medicamentos.
Por tanto, el cumplimiento normativo excede al Derecho penal. Un pro-
grama de compliance consiste entonces en generar en las organizaciones
capacidad de cumplir con la ética y con las exigencias legales en general1,
sean estas últimas procedentes del Derecho penal, del Derecho ambiental,
del Derecho tributario, etc. (Bock, 2011, p. 21)
Esta dimensión más amplia del compliance es la que actualmente más
se acentúa en la praxis y en su desarrollo teórico, dado que la evolución de
este fenómeno en el mundo corporativo y en el plano legislativo ha contri-
buido a una mayor especialización. Así, en la actualidad se alude además
al tax compliance, al data privacy compliance, al human rights complian-
ce, al compliance laboral, etc. Esta diferenciación no pasa desapercibida
en muchos entes colectivos y ello no solamente impacta en la adopción
de políticas y procedimientos que incorporan una perspectiva específica
de la rama del compliance, sino que también impacta en la organización
interna. Respecto a esto último, por ejemplo, muchas empresas, además
de tener en la actualidad un oficial de cumplimiento concentrado en la
prevención de la corrupción y el lavado de activos, cuentan con un data
protection officer. Incluso en la actualidad, es especialmente relevante en
Chile la manifestación del compliance en materia de defensa del consumi-
dor2, sobre todo si consideramos que según el art. 24 inc. 4º, letra C) Ley
Nº 19.496 la implementación de un “plan de cumplimiento” es tenida en
cuenta como una circunstancia atenuante de la sanción3.
Dicho esto, si el compliance constituye el conjunto de mecanismos e ins-
trumentos internos de una organización dispuestos para prevenir, detectar
y reaccionar frente a ilícitos que puedan ser cometidos con intervención
de la empresa, se alude entonces a un criminal compliance cuando estos
1
Más modernamente comienza a distinguirse con mayor claridad las funciones de
compliance y de ética, las cuales, si bien aparecen mayormente gestionadas en la
organización por la misma área, son tratadas como cuestiones independientes.
2
Respecto a las particularidades del compliance en materia de defensa del consumi-
dor en Chile, cfr. Lorenzini Barría, 2020, pp. 302 y ss.
3
Para comprender el alcance de las exigencias de compliance relativas a esta regula-
ción y a la del art. 54 P de la misma ley, véase la Resolución Exenta Nº 689, de 10
de septiembre de 2021, del Servicio Nacional del Consumidor.
mecanismos están enfocados a los delitos en la empresa (Sieber, 2008, pp.

449 y ss.). En este sentido, puede decirse que la finalidad de los programas
es aplicar normas jurídicas u otras directivas definidas para la empresa y,
a través de ello, evitar la atribución de responsabilidad a la empresa y em-
pleados. De este modo se cumple con el Derecho vigente y, particularmen-
te, con el Derecho penal (Hauschka, 2007, p. 9)4.
Por ello, se entiende que los compliance programs, naturalmente orien-
tados al control interno, poseen un específico contenido de prevención:
la influencia directa sobre la dirección de la empresa es, desde un punto
de vista de técnicas de organización, el medio más eficaz para influir en la
política de la empresa y compensar así los efectos criminógenos caracterís-
ticos de las organizaciones empresariales (Nieto Martín, 2008, pp. 215
y s.). Ahora bien, como se verá más adelante, no solamente componentes
“preventivos” hacen parte de un programa de cumplimiento, sino también
instituciones destinadas en sentido estricto a la detección y reacción frente
a la comisión de un delito.
Una cuestión adicional que cabe precisar en relación a la noción de
criminal compliance es si está al servicio exclusivamente de la gestión de
riesgos penales originados en la propia organización o si también de ries-
gos de terceros que impactan en la organización. Dicho con otras palabras:
¿se dedica el compliance a prevenir, detectar y reaccionar frente a delitos
cometidos por la empresa y sus miembros o también a delitos cometidos
contra la empresa y sus miembros? A juzgar por las definiciones más habi-
tuales ofrecidas por la doctrina e incluso por algunas legislaciones, existe
acuerdo amplio en que el criminal compliance tiene como referencia de-
litos cometidos por la organización. Sin embargo, en ciertos sectores de
la praxis de la consultoría es común también asociar al compliance con la
gestión de riesgos externos, capaces de perjudicar a la organización (Nie-
to Martín, 2013, pp. 25 y s.; Rathgeber, 2012, p. 86). Un buen ejemplo
lo ofrecen las políticas para prevenir fraudes internos o incluso para prote-
ger información privilegiada o prevenir ciber-ataques. Esto conduce a que
suela aludirse a un compliance “ad intra” en estos supuestos, mientras que
se emplee la expresión compliance “ad extra” para aludir a los supuestos
de evitación de out-puts lesivos de la organización.
Ahora bien, que las regulaciones internas relativas a la prevención de
ilícitos que tienen como víctima a la organización no deban ser catalogadas
4
Conf. Hauschka, en el mismo (ed.), Corporate Compliance, p. 9.
dentro del ámbito del compliance5, no debe hacernos perder de vista las
similitudes existentes. De hecho, muchos de los componentes de un pro-
grama de compliance deben estar presentes en un sistema de prevención
de fraude interno, como el análisis de riesgos, instrumentos de detección,
etc. De este modo, mientras que un sistema antifraude interno procura do-
tar a la organización de instituciones que le eviten ser víctima de delitos, los
sistemas de compliance capacitan a la organización para el cumplimiento
normativo, esto es, para cumplir con las exigencias legales impuestas bajo
amenaza de sanción.
III. FINALIDAD DEL COMPLIANCE Y DE SUS COMPONENTES

Una de las conclusiones que se extraía en el primer apartado de este
trabajo es que el criminal compliance se refiere al conjunto coordinado
e integrado de acciones, normativas y procedimientos dispuestos por la
organización para hacer frente al delito. La pregunta que toca analizar
ahora es ¿qué finalidad persigue este conjunto de acciones, normativas y
procedimientos frente al delito?
Es muy común encontrar en la doctrina la referencia genérica a que el
criminal compliance apunta a asegurar que la organización en cuestión
esté en condiciones de cumplir con los requerimientos y prohibiciones pe-
nalmente reforzadas que impone el legislador. De un modo más específico,
cabe añadir que el compliance penal aspira a capacitar a la organización
en el cumplimiento normativo y a impedir la comisión de delitos (Mon-
tiel, 2017, pp. 32 y ss.; García Cavero, 2017, pp. 31 y ss.). Un programa
de cumplimiento o modelo de prevención de delitos no es otra cosa más
que una herramienta de gestión integral de riesgos penales. Ahora bien, de
manera más precisa es menester identificar tres finalidades específicas que
busca alcanzar un programa de cumplimiento en materia penal: prevenir,
detectar y reaccionar frente a los delitos6.
Una de las características más marcadas del compliance como fenóme-
no jurídico es que se trata de una herramienta de anticipación, algo que
5
En detalle sobre mi posición, cfr. Montiel, Juan Pablo: “Compliance en tiempos
de barbijos: ¿una deformación del cumplimiento normativo?”, Enfoques Penales
(mayo), 2020. Montiel, 2020, p. 2 y ss.
6
Estas finalidades son ampliamente reconocidas en la literatura (cfr. entre otros,
Reed, 2012, pp. 1 y ss.) e incluso en la legislación comparada (art. 22 Ley Nº
27.401 de Argentina)
en la praxis penal es absolutamente extraordinario. Como regla, la praxis

del Derecho penal es eminentemente reactiva, puesto que recién se acude
a un abogado penalista cuando ya existe un “conflicto” (denuncia, citación
a juicio, imputación penal, llamado a prestar declaración como testigo,
etc.). La dimensión anticipativa es muy poco habitual. Podría decirse que
el compliance penal es, en este sentido, “contra-cultural”, pues implica tra-
bajar anticipadamente en una futura y eventual defensa penal. Cuando
se diseña e implementa un programa de compliance la organización está
ocupándose de que en el futuro no se cometan delitos y de que, en caso
de suceder ello de todos modos, se demuestre la existencia de mecanismos
idóneos ex ante para impedirlo y reaccionar a ello. Ahora bien, esta orien-
tación “anticipatoria” no debe confundirse con la finalidad de la preven-
ción de delitos.
Cuando se alude a que un programa de cumplimiento tiene una finali-
dad de prevención, se está aludiendo, en mi opinión, a la idea largamen-
te defendida en la criminología clásica de la disuasión primaria. Esto es,
disuadir la comisión de delitos a partir de trabajar en sus causas. Por un
lado, el sistema de compliance se enfoca en los factores etiológicos de las
conductas ilegales dentro de la empresa (Nieto Martín, 2013, pp. 29 y
ss.). Aquí no solo adquiere valor el diagnóstico de riesgos, sino también
las estrategias de incidencia en las causas de los ilícitos para modificar los
patrones de conducta. En el último tiempo, esta dimensión está tomando
cada vez mayor importancia, especialmente a partir de incorporar a los
análisis el estudio de las behavioral sciences, lo que ha dado lugar a la apa-
rición de una prometedora nueva rama, el behavioral compliance7.
Entre los elementos de un programa de compliance más claramente
orientados a dar cumplimiento a esta finalidad de prevención cabe men-
cionar aquí a las capacitaciones o entrenamientos de los recursos humanos
y al denominado tone at the top. Por un lado, las capacitaciones permiten
formar a los recursos humanos no solamente en conocimientos técnicos y
legales relativos a infracciones de la ley y reglas de compliance, sino tam-
bién en los valores y la misión de la organización en la que trabajan. Las ca-
pacitaciones deben permitir la transmisión e internacionalización de cono-
cimientos y valores. Por otro lado, el tono ético mantenido desde la cabeza
de la organización que se traduce, entre otras cosas, en el buen ejemplo, la
empatía y la transparencia en la gestión también inciden decisivamente en
7
Sobre este fenómeno, con ulteriores referencias, cfr. Boehler/Montiel, 2021,
pp. 209 y ss.
los motivos que llevan a los miembros de una organización al actuar a favor
o en contra de las exigencias legales y éticas (Kaptein, 2012, pp. 10 y ss.).
Seguramente la detección es una de las finalidades más importantes
del compliance, tal es así que mientras más satisfactoriamente se alcanza
esta finalidad mayor serán los niveles de eficacia del programa de cum-
plimiento8. Este sistema debe contar con vías de información, reporte y
supervisión, capaces de detectar ágilmente la realización de conductas re-
ñidas con la ley. Entre las acciones y procedimientos orientados hacia la
detección se destacan la adecuada comprensión y gestión de riesgos, la
existencia de canales de reporte de ilícitos, las actividades de indagaciones
de reportes o denuncias. Así, los elementos de un programa de complian-
ce que más claramente apuntan a la detección son los canales de denun-
cias, las líneas internas de reporte, las investigaciones internas, el mapeo
y monitoreo de riesgos, etc. Mediante estos instrumentos la organización
debería estar en condiciones de identificar si se cometen o no delitos y en
su caso comprender cómo se manifiesta la criminalidad en su organización
y cuáles son los factores desencadenantes. Como se puede imaginar, la in-
formación aportada por los mecanismos y procedimientos dispuestos para
la detección es de enorme valor para adoptar decisiones racionales en la
gestión de un programa de cumplimiento.
La tercera finalidad que se busca alcanzar con instrumentos del com-
pliance es la reacción. En parte, su importancia radica en que la seriedad
y (en definitiva) la efectividad del compliance va a estar condicionada no
solo por el enforcement estatal, sino también por las estrategias de reac-
ción de las que disponga el programa, tanto bajo el formato de un régi-
men sancionatorio interno, como por la colaboración con la fiscalía. En
la medida en que los incentivos negativos se vean reforzados con medidas
internas de carácter jurídico-laboral, también se asegura la capacidad de
cumplimiento normativo de la organización. Como se analiza infra, la pro-
pia Ley Nº 20.393 reconoce la importancia de esta finalidad al entender
que uno de los elementos que hace adecuado a un modelo de prevención
es la existencia de un sistema sancionatorio (art. 4, 3 d.). Sin embargo,
no debe reducirse la reacción a la aplicación de sanciones o del aparato
disciplinario. También la comisión de delitos supone una valiosa lección
para las organizaciones, puesto que se les presenta una oportunidad para
hacer mejoras a su programa de compliance. Este punto es trascendental:
8
Destacando la importancia de los componentes de detección en un programa de
compliance para determinar su adecuación, cfr. Boehler/Montiel, 2021, pp. 207
y ss.
un programa de compliance funciona adecuadamente cuando han podido

detectarse las fallas y luego se implementan mejoras.
IV. IMPORTANCIA POLÍTICO-CRIMINAL DEL COMPLIANCE

Con notable frecuencia se enfatiza que unas de las razones que explica
la notable expansión del compliance a nivel global es su positiva incidencia
en la reducción de la corrupción. A partir de esta creencia, se ha produci-
do una expansión no sólo geográfica de las prácticas del compliance, sino
también temática, más allá de la lucha contra la corrupción. Con todo, no
es el compliance per se lo que ha incidido positivamente en la prevención
de la delincuencia, sino que el supuesto éxito se explica a partir de tener
en consideración otras herramientas que de manera conjunta o coordina-
da favorecen la disminución de la delincuencia empresarial.
El compliance es el fruto de un cambio de estrategia del Estado para
prevenir la criminalidad, dado que se pasa del monopolio estatal a la hora
de prevenir, detectar y reaccionar frente a la delincuencia a una modalidad
híbrida en la que, al menos en la criminalidad empresarial, se le cede una
parte de esta gestión a los particulares9. Un programa de cumplimiento
absorbe entonces esta delegación que hace el Estado. Desde aquí, las per-
sonas jurídicas colaboran activamente con el Estado en la lucha contra la
criminalidad. Sin embargo, la experiencia comparada nos indica que las
empresas no han decidido voluntariamente y motu proprio dotarse de esta
organización, sino que lo han hecho incentivados fuertemente.
En realidad, la globalización del compliance no responde a razones in-
ternas a este fenómeno, sino a otras que conocemos bien. En primer lugar,
aparece la responsabilidad penal/administrativa de personas jurídicas. Las
empresas comenzaron a dotarse de programas de cumplimiento cuando
encontraron los incentivos para hacerlo, especialmente incentivos negati-
vos. Por un lado, especialmente en materia de prevención de lavado de ac-
tivos, las unidades especializadas (UAF, por ejemplo) imponen a los sujetos
obligados que no adoptan medidas de compliance sanciones de carácter
administrativo, que van desde multas hasta la inhabilitación para operar en
el mercado financiero. De manera similar, los regímenes de responsabili-
dad penal de persona jurídica buscan incentivar a las organizaciones a que
se autorregulen en compliance para evitar sanciones (art. 4 Ley Nº 20.393)
o para poder hacer ciertos contratos con el Estado (art. 24 Ley Nº 27401
9
Respecto a esta privatización, cfr. Bermejo/Montiel, 2020, pp. 55 y ss.
Argentina). De esta manera, el abandono de la máxima societas delinque-

re non potest ha contribuido decisivamente a la generalización de las prác-
ticas en compliance, pues las organizaciones se han visto ante la necesidad
de adoptar medidas internas para gestionar riesgos penales.
Finalmente, no puede dejarse de lado la importancia que tiene el en-
forcement de los órganos de persecución penal para el reforzamiento del
compliance como herramienta político-criminal. La adopción de un sis-
tema de prevención, detección y reacción frente al delito no solamente
aparece condicionada por la existencia de la amenaza de una responsa-
bilidad penal o de una sanción administrativa, sino también de que las
penas y las sanciones sean efectivamente aplicadas. La praxis demuestra
que, en aquellos países donde las leyes de responsabilidad penal apenas se
han aplicado o directamente pasan totalmente desapercibidas en la praxis
jurisprudencial, las personas jurídicas raramente deciden organizarse en
compliance. En un contexto en el que las personas jurídicas utilizan la
comisión de delitos como modus operandi para la obtención y el mante-
nimiento de negocios, sin que la Justicia imponga sanciones y penas por
esos hechos, los actores “íntegros” del mercado suelen verse desalentados a
adoptar medidas autorregulatorias. En definitiva, el compliance pasa a ser
visto en ese contexto como un gasto innecesario y como una herramienta
que le impide ser “competitivo”.
A modo de conclusión, los programas de cumplimiento son una pode-
rosa herramienta de política-criminal, pero que necesita verse acompaña-
da de otras para funcionar de manera eficaz. La primera de estas herra-
mientas es la responsabilidad penal/administrativa de personas jurídicas,
la que ofrece los principales incentivos para la adopción de un modelo de
prevención de delitos. La segunda es la aplicación judicial de estas leyes
de responsabilidad penal/administrativa de las personas jurídicas, pues
de este modo los actores del sector privado reconocen que las sanciones
y penas previstas legalmente son realmente cumplidas. Ello fuerza un
cambio en las estrategias organizativas de las personas jurídicas, al perci-
birse de otra manera la probabilidad de ser descubiertas y efectivamente
sancionadas.
V. INCIDENCIA DE LOS PROGRAMAS DE CUMPLIMIENTO

EN LA RESPONSABILIDAD PENAL
En tanto instrumento de gestión de riesgos penales de una organiza-
ción, los programas de cumplimiento tienen una incidencia principal en
relación a la responsabilidad penal de las personas jurídicas. Así lo estable-

ce con claridad el art. 3 Ley Nº 20.393 en su párrafo 1º:
“Una persona jurídica será penalmente responsable por cualquiera de los
delitos señalados en el artículo, perpetrado en el marco de su actividad por o
con la intervención de alguna persona natural que ocupe un cargo, función o
posición en ella, o le preste servicios gestionando asuntos suyos ante terceros,
con o sin su representación, siempre que la perpetración del hecho se vea
favorecida o facilitada por la fala de implementación efectiva de un modelo
adecuado de prevención de tales delitos, por parte de la persona jurídica”.
En el marco de este precepto legal, un programa de cumplimiento es

caracterizado como un instrumento de dirección y supervisión organizati-
va. El cumplimiento de estos deberes de dirección y supervisión tiene para
la Ley Nº 20.393 una importancia notable, dado que impide la atribución
de responsabilidad penal a la persona jurídica. El art. 3, 2º párr. Ley Nº
20.393 diferencia dos criterios de atribución de responsabilidad penal de
la persona jurídica, según se trate de la “alta” o de la “baja” gerencia, esto
es, según la persona física involucrada en el hecho ejerza o esté sometida a
control y supervisión. Respecto al primer caso (por o con la intervención
de alguna persona natural que ocupe un cargo, función o posición en ella)
se castigará a la persona jurídica cuando el delito haya sido cometido en
su interés o beneficio y además cuando fuere consecuencia del incumpli-
miento de los deberes de supervisión y vigilancia. Dicho de otro modo: una
de las circunstancias que habilita el castigo de la persona jurídica por los
delitos cometidos por la alta gerencia es el no contar con un programa de
compliance o haber contado con uno inadecuadamente implementado y
diseñado10.
Según el art. 3 inc. 1° parte final Ley Nº 20.393 la existencia de un mo-
delo de prevención es una circunstancia que condiciona la génesis de la
RPPJ, es decir, es una circunstancia que impide la imputación de respon-
sabilidad a la persona jurídica. En este punto, entiendo que la ley adopta
un modelo mixto de RPPJ, puesto que se combinan elementos de auto-
rresponsabilidad (adecuada organización en compliance) y de heterorres-
ponsabilidad (transferencia por existencia de beneficio de la persona jurí-
dica y ejecución por parte de persona física)11. De este modo, la existencia
10
En este mismo sentido lo ha interpretado la jurisprudencia chilena, por ejemplo,
en los casos Colbún, Pehuenche, Ceresita y Universidad del Mar. En detalle al
respecto, cfr. Navas/Jaar, 2018, pp. 1038 y ss.
11
En este sentido también, cfr. Hernández, Héctor, pp. 217 y ss; Rojas Morán, p. 15;
Navas Mondaca/Jaar, (2018), p. 1033. El modelo favorecido por Artaza Varela,
de un modelo de prevención adecuado (infra se analizan los criterios de

adecuación) constituye una eximente de RPPJ, la que, según mi parecer,
debería ser interpretada como una causa de atipicidad distinta del riesgo
permitido. Desde una mirada convencional, el defecto de organización es
un elemento del tipo de delito, por lo que la existencia de un modelo de
prevención adecuado impide el surgimiento de un factor determinante de
la configuración del tipo de delito de la persona jurídica.
En la actualidad se discute entusiastamente cuál es la naturaleza dogmá-
tica de la eximente de una adecuada organización en compliance, sin que
la respuesta resulte pacífica (Silva Sánchez, 2016, pp. 669 y ss.). La doctri-
na presenta un abanico de posibilidades interpretativas: causa de atipicidad
(bajo la modalidad del riesgo permitido) (Pérez Gil, 2019, p. 1066), causa
de exclusión de la culpabilidad12 y excusa absolutoria (Lascano, 2019, p.
99)13. Naturalmente se trata de una respuesta condicionada por el modelo
de RPPJ, algo que, a decir verdad, depende de la concreta regulación que
adopte cada ordenamiento jurídico. Así, la naturaleza de eximente no es
una cuestión inmanente al compliance sino sujeta a las particularidades de
cada ordenamiento jurídico.
Puede apreciarse de esta manera que una primera función reconocida
legalmente que tienen los programas de compliance es la de excluir la
RPPJ. Sin embargo, respecto a las personas jurídicas no solamente inciden
a la hora de excluir toda responsabilidad, sino que bajo ciertas condiciones
pueden también lograr que la organización en cuestión sufra una pena
más reducida. El art. 6 Ley Nº 20.393 prevé entre las atenuantes una adop-
ción de medidas de compliance menos rigurosa que la requerida para la
eximente. Para la atenuación de la responsabilidad basta con que se hayan
adoptado medidas eficaces para la prevención de delitos (debiendo contar
con los elementos mínimos que el art. 6 N°3 Ley 20.393 contempla) antes
de la formalización de la investigación. También aquí el factor temporal ex-
plica que el compliance solamente atenúe la pena, puesto que los esfuerzos
2019, pp. 38 y ss. plantea la responsabilidad penal de la persona jurídica baja una
estructura de corresponsabilidad, en la que la persona jurídica responde por su
participación en el hecho principal de la persona física. Si bien comparto comple-
tamente esta interpretación como modelo conceptual, considero que esta inter-
pretación únicamente es posible según el tenor de la Ley Nº 20.393 respecto a los
supuestos de comisión del delito por parte de la alta gerencia.
12
Posición favorecida por alguna línea jurisprudencial en España, cfr. el voto parti-
cular en STS 154/2016, de 29 de febrero.
13
En España la Fiscalía General del Estado en la Circular 1/2016 interpreta también
que se trata de una excusa absolutoria.
de organización en compliance únicamente surgen después de cometido

el delito.
Adicionalmente es posible reconocerle a los programas de complian-
ce una destacada función en la atribución de responsabilidad penal indi-
vidual, algo que suele pasar inadvertido en las legislaciones, pero que en
la praxis y en la doctrina tiene una gran importancia. Los programas de
cumplimiento tienen un alto valor como estrategia defensiva de perso-
nas físicas, sobre todo en relación a la atribución de responsabilidad de
la alta dirección de las organizaciones, donde la tendencia actual es am-
pliar notablemente sus deberes de control y vigilancia (Silva Sánchez,
2018, pp. 443 y ss.). Así, es cada vez más común la pretensión de que la
alta dirección responda por cualquier omisión de control o supervisión,
incluso cuando no ello estaba por fuera de su ámbito de control direc-
to14.
Cuando una persona jurídica no está adecuadamente organizada en
compliance puede suceder que cada órgano de la persona jurídica no ten-
ga correctamente delimitado su ámbito de competencia. También fruto de
una inadecuada organización puede suceder que varios órganos tengan
asignadas la misma función de control pero que finalmente no acabe sien-
do ejecutada por ninguno de ellos, al creerse erróneamente que el otro
órgano lo hará. Naturalmente esto favorece la comisión de delitos y en
ciertos casos podría dar lugar a entender que ha habido un favorecimiento
doloso del delito, encuadrable como un acto de participación (omisiva)
criminal. En este sentido, los protocolos, políticas y procedimientos sirven
para delimitar con claridad las funciones y competencias de cada órgano
dentro de la persona jurídica y permiten saber quién se encarga de cada
tramo del control. En la medida en que las competencias estén correcta-
mente delimitadas, quien dirige o supervisa a otros podrá hacer mejor su
trabajo y adicionalmente no podrá ser hecho responsable por omisiones
de control que le incumben a otro órgano o a otra persona dentro de la
organización. En este sentido, la existencia de protocolos que ordenen los
procedimientos y las competencias y el efectivo cumplimiento de lo esta-
blecido en estos protocolos es valiosa para encarar una defensa de directo-
res, gerentes u oficiales de cumplimiento.
14
Aunque en opinión de Seelmann, 2013, pp. 174 y s., es esperable que estas pre-
tensiones de castigar a la cúpula de la empresa bajo una participación omisiva im-
prudente o por la vía de una tipificación autónoma no prosperen por las enormes
inconsistencias dogmáticas que padecen estas propuestas.
Puntualmente en relación a la responsabilidad penal de los miembros

del directorio no solamente tiene importancia la existencia de protocolos,
sino también el ejercicio de lo que se conoce como tone at the top o tam-
bién conocido como tono ético (Silva Sánchez, 2018, p. 444). Para gran
parte de la doctrina el tone at the top es un elemento integrante de un pro-
grama de cumplimiento (autores) y se manifiesta de diferentes maneras15:
en las políticas de comunicación, en las decisiones de sancionar o dejar sin
castigo hechos delictivos, en el presupuesto que se destina al compliance,
etc. Estas cuestiones también pueden desempeñar un rol importante en
los casos de duda, especialmente donde no está muy clara la neutralidad
delictiva del aporte omisivo del director.
VI. ELEMENTOS DE UN PROGRAMA DE COMPLIANCE

1. Precisión conceptual
De acuerdo con el sentido político-criminal que tiene el compliance,
existen claras razones para preferir hablar de un sistema, en lugar de un
programa de cumplimiento. Al estar asociados los beneficios punitivos para
la persona jurídica a una adecuada gestión de riesgos penales, la exclusión
o atenuación de la pena depende no solamente de la presencia o no de
determinados elementos, sino de su funcionamiento, lo que obliga en la
mayoría de los casos a asociar varios elementos entre sí. Por ejemplo, el
correcto funcionamiento del sistema de investigaciones internas depende
en buena medida del buen funcionamiento de los canales de denuncias,
de los sistemas de reportes y de un oficial de cumplimiento diligente.
Ahora bien, para entender correctamente esta dimensión funcional del
compliance (y que resulta tan importante a la hora de determinar la ade-
cuación del compliance) es necesario identificar cuáles son los elementos
de un programa de cumplimiento. Como ya se indicó al inicio de este tra-
bajo, dan forma a este sistema numerosos elementos de diversa naturaleza:
procedimientos, normas o protocolos, recursos humanos, etc. Un listado
ejemplificativo de estos elementos puede encontrarse en el art. 4 de la Ley
Nº 20.393, cuando el legislador identifica los mínimos aspectos que debe
15
Personalmente considero que no estamos aquí ante un elemento propiamente di-
cho del programa de cumplimiento, sino más bien ante un complemento interno
que coadyuva al mantenimiento del sistema de compliance. En detalle al respecto,
cfr. Montiel, 2018, p. 77.
contener un modelo de prevención para tener por cumplidos los deberes

de dirección y supervisión. Allí aparecen:
a) Oficial de cumplimiento o encargado de prevención

Sistema de prevención (mapa de riesgos, protocolos y procedimientos,
procedimientos administrativos y de auditoría financiera, sistema sancio-
natorio, canales de denuncia)
b) Supervisión del sistema de prevención de delitos.

El legislador no ha sido especialmente analítico a la hora de identificar
todos aquellos objetos, personas o procesos que según las buenas prácticas
son componentes de un programa de compliance. Pero al menos ha iden-
tificado alguno de los principales elementos. Adicionalmente, y con ánimo
de hacer mayores distinciones sensibles a la práctica, cabría mencionar a
los siguientes elementos:
— Protocolo de debida diligencia de terceros.
— Sistema de investigaciones internas
— Protocolo de debida diligencia en procesos M&A
— Capacitaciones o entrenamientos de recursos humanos
— Políticas de obsequios y donaciones.
— Políticas de relacionamiento con el sector público.
— Código de Ética.
— Políticas de protección de denunciantes.
Amplios sectores de la doctrina y la práctica del compliance reconocen
también como elementos de un programa de cumplimiento también al de-
nominado tone at the top o tono ético de la alta dirección y a las evaluacio-
nes periódicas. Esto último adquiere en la legislación chilena una notable
importancia especialmente en el marco de lo establecido por el art. 4 4)
Ley Nº 20.393, donde se contempla como elemento, “evaluaciones perió-
dicas por terceros independientes y mecanismos de perfeccionamiento o
actualización a partir de tales evaluaciones” para la exoneración de res-
ponsabilidad penal de la persona jurídica. A mi entender, ni el tone at the
top ni la certificación deberían ser consideradas como elementos de un
programa de cumplimiento, sin perjuicio de la indudable interconexión
que existe y de la importancia de estos fenómenos para el buen funciona-

miento de un modelo de prevención.
En mi opinión, el tone at the top y las certificaciones son, conceptual-
mente, elementos externos a un programa de cumplimiento y no dos de
sus componentes. Esto quiere decir que su razón de ser consiste en operar
sobre un programa ya existente. Por un lado, el tono ético es la expresión
de apoyo y de promoción que asume la alta dirección de la organización
respecto al sistema de compliance, es decir, sobre la base de un programa
ya existente se trata del conjunto de acciones para promocionar la cul-
tura ética, el cumplimiento de los protocolos y demostrar con decisiones
concretas la incorporación de la ética y el compliance al negocio. Ello se
traduce en el financiamiento, en la garantía de autonomía del oficial de
cumplimiento, en las políticas de comunicación, etc. (y en su dependencia
directa y reporte al directorio u al órgano máximo, quedando fuera de la
línea ejecutiva o gerencial de la empresa). Por su parte, las certificaciones
todavía con mayor claridad operan externamente a los modelos de preven-
ción, puesto que son procesos en los que se analiza si un programa de com-
pliance actualmente implementado funciona conforme a aquellas buenas
prácticas reconocidas como tales por la entidad certificadora. Dicho de
otra manera: la certificación viene a acreditar que un determinado modelo
de prevención cumple con ciertos parámetros externos de calidad.
VII. PRINCIPALES ELEMENTOS DE UN PROGRAMA DE

COMPLIANCE SEGÚN LA LEY Nº 20.393
1. Criterios de adecuación: elementos obligatorios y optativos
La Ley Nº 20.393, al igual que la gran mayoría de las legislaciones com-
paradas, no concede efectos excluyentes o atenuantes de responsabilidad
penal a cualquier modelo de prevención, sino solamente a aquellos con
determinadas características y que permiten alcanzar determinados objeti-
vos. Ello significa que el solo hecho de contar una persona jurídica con un
programa de compliance no activa automáticamente su derecho a recla-
mar un trato punitivo beneficioso. Como vimos, el diseño del modelo de
prevención y su implementación debe tener determinadas características
para activar esos efectos.
En este punto es necesario tener en claro que la Ley Nº 20.393 no exige
la eficacia del modelo de prevención, sino más bien su adecuación. En la
discusión convencional del compliance, el concepto de eficacia aparece
asociado a lograr el objetivo de impedir la comisión de un delito, por lo

que un programa de cumplimiento sólo será eficaz en la medida en que la
organización no cometa delitos. En cambio, se predica la adecuación de
un programa de compliance cuando éste está conformado y funciona de
acuerdo a los estándares de las “buenas prácticas”16. Con toda la vaguedad
que aqueja la expresión “buenas prácticas”, entiendo que un programa de
cumplimiento es adecuado cuando ex ante obstaculiza seriamente la co-
misión de delitos de los miembros de la organización. Es evidente que, en
vistas a la exclusión de la pena, la ley pretende únicamente que los progra-
mas de compliance sean adecuados, dado que desde el mismo momento
en que se lleva a juicio a la persona jurídica por el delito cometido por uno
de sus miembros debe entenderse que el modelo no fue eficaz para la pre-
vención. Se dice más bien que fue adecuado, más no eficaz.
Una de las particularidades que presenta la ley en relación a esta cues-
tión es que el legislador ha decidido establecer criterios para medir la ade-
cuación del programa de compliance. Aquí es importante tener en cuenta
que la legislación latinoamericana ha hecho suya una estrategia político-cri-
minal diferente, en comparación con la clásica procedente de Europa. En
lugar de confiar en la discrecionalidad del juez para que en cada caso de-
termine si el modelo de prevención funcionaba adecuadamente para obs-
taculizar la comisión de delitos, prefirió el legislador chileno establecerle
al juez criterios externos de evaluación. Esta técnica se repite, por ejemplo,
en la legislación peruana (art. 17. 2 Ley Nº 30.424) y argentina (art. 23 2ª
parte Ley Nº 27.401). Así, puede observarse que el art. 4 Ley Nº 20.393 no
contempla un largo listado de elementos de un programa de compliance,
sino que se limita a establecer aquellos elementos fundamentales que sí o
sí debe tener un modelo para ser considerado adecuado y, por ende, exo-
nerar de pena a la persona jurídica.
La expresión contenida en el tenor literal “considere seria y razona-
blemente” debería llevarnos a interpretar que el legislador ha distinguido
implícitamente entre elementos obligatorios y optativos. Ello conlleva que
ningún programa de compliance podrá ser considerado adecuado si no
contiene, al menos, todos los elementos reconocidos en el art. 4. Ello sig-
nifica que una persona jurídica, cuyo programa de integridad contenga los
elementos obligatorios, pero no así, por ejemplo, políticas de diligencia
debida en procesos de fusión y escisión, igualmente podría verse beneficia-
16
Sobre la distinción entre eficacia y eficiencia, cfr. Boehler/Montiel, 2021, pp.
213 y s., con ulteriores referencias.
da con la eximente. Naturalmente esta técnica legislativa presenta la gran

ventaja de ofrecer prima facie mayor previsibilidad a la decisión del juez y
reduce su discrecionalidad. Sin embargo, no deja de ser problemática si se
presta atención a los graves problemas que pueden generarse como con-
secuencia de una infra-inclusión de casos. Al mismo tiempo, esta técnica
legislativa fomenta que los fiscales y jueces se preocupen más por chequear
que el modelo de prevención tenga los elementos requeridos, más que por
la pregunta de si ese elemento funciona correctamente.
2. Elementos mínimos (obligatorios) del modelo de prevención

a) Encargado de prevención
En mi opinión, para la ley la figura del oficial de cumplimiento ocu-
pa un lugar trascendental para evaluar el adecuado funcionamiento del
modelo de prevención. Aquí el legislador no se ha limitado a reconocer
que su presencia es totalmente necesaria para determinar la adecuación
del modelo, sino que ha precisado detalles importantes relativos a su fun-
cionamiento y constitución. Incluso, en el caso Corpesca17 la evaluación
judicial del modelo de prevención tuvo especialmente en cuenta este ele-
mento: precisamente su falta de autonomía y su mala gestión del modelo
de prevención justificaron la conclusión de que el modelo de prevención
no debía ser tenido como adecuado.
La figura del oficial de cumplimiento tiene para el criminal compliance
una notable importancia en dos sentidos. En el primero, uno de los gran-
des temas que captó la atención de los penalistas por el fenómeno del cum-
plimiento normativo ha sido la responsabilidad penal del CO, como conse-
cuencia del revuelo que generó en la doctrina18 el famoso obiter dictum de
la sala 5a del BGH, en el que se planteaba su posición de garante respecto
17
Sentencia del 16 de abril de 2021 del Tercer Tribunal Oral en Lo Penal de San-
tiago, Causa c/ Jaime Orpis Bouchon, Marta Isasi Barbieri, Raúl Lobos Torres y
Corpesca S.A.
18
Al respecto, cfr. entre muchos otros, Prittwitz, Cornelius., “La posición jurídica
(en especial la posición de garante) de los compliance officers”, en Kuhlen, Lothar.
— Montiel, Juan Pablo. — Ortiz de Urbina Gimeno, Iñigo. (eds.), Compliance y
teoría del derecho penal, Marcial Pons, Madrid, 2013, ps. 210 y ss.; Rotsch, Thomas.,
“Compliance”, en Achenbach, Hans.— Ransiek, Andreas. (eds.), Handbuch Wirts-
chaftsstrafrecht, 3a ed., C. F. Müller, Heidelberg, 2012, nro. 33; Navas Mondaca,
2021, pp. 724 y ss.
de la evitación de delitos cometidos por miembros de la organización19. El

segundo sentido relevante para el criminal compliance se conecta con el
destacado rol que desempeña el oficial de cumplimiento en la gestión del
programa de compliance. Sin perjuicio de las funciones específicas que le
son propias, su posición de “gerente” del sistema de compliance lo envis-
te de una importancia digna de mención, de modo que sobre sus espal-
das cae una gran responsabilidad que también deberá gestionar mediante
herramientas de cumplimiento normativo. En todo caso, desentrañar los
roles del oficial de cumplimiento es una cuestión clave para poder abor-
dar rigurosa y adecuadamente la cuestión de su responsabilidad ante los
delitos cometidos por los miembros de la empresa. No es extraño encon-
trar que muchas de las exposiciones que han querido fundamentar su res-
ponsabilidad penal como garante de la evitación, lo han hecho a partir de
una imagen del oficial de cumplimiento que dista de ser la verdadera en
la realidad. Al desconocerse sus genuinas funciones es natural encontrar
problemas a la hora de justificar una responsabilidad penal.
A grandes rasgos, el oficial de cumplimiento es el encargado de gestio-
nar, dentro de una organización, todo el compliance y de garantizar que
éste funcione adecuadamente. Por lo general, se entiende que sus áreas de
trabajo aparecen vinculadas con el diseño, la implementación y el control
interno del sistema de compliance20. Con todo, la responsabilidad del en-
cargado de prevención no son las mismas en todas las personas jurídicas,
sino que ello depende de las obligaciones asumidas contractualmente por
el oficial de cumplimiento y por la organización interna del ente colectivo.
Así, por ejemplo, en algunas organizaciones el oficial de cumplimiento
asume la totalidad de las cuestiones vinculadas al compliance (por ejem-
plo, compliance antilavado, anticorrupción, antitrust, tax compliance, data
privacy compliance, etc.), mientras que en otras puede existir una organi-
zación diferente, según la cual el encargado de prevención solamente se
ocupa de las herramientas de compliance aplicadas a la prevención del
lavado de activos y la corrupción. Ahora bien, con independencia de si
existe una regulación estatal específica sobre las competencias puntuales
del oficial de cumplimiento o si ellas deben extraerse de las condiciones
de su contrato laboral, siempre es recomendable que exista una autorre-
gulación que delimite detalladamente sus funciones. Ello no solo se torna
19
BGH 5 StR 394/08, sent. del 17/7/2009, nro. 27.
20
Bermejo, Mateo G. — Palermo, Omar., “La intervención delictiva del compliance
officer”, en Kuhlen, Lothar. — Montiel, Juan Pablo. — Ortiz de Urbina Gime-
no, Iñigo. (eds.), Compliance y teoría..., cit., ps. 182 y ss.
necesario a los efectos de dar previsibilidad al funcionamiento de esta área

en la organización, sino también para deslindar ámbitos de responsabili-
dad y competencias del oficial de cumplimiento y evitar, por consiguiente,
una exposición desmedida a riesgos penales.
Resumidamente, cabe señalar que su función consiste en gestionar el
sistema de compliance, lo que debería significar que su principal ocupa-
ción consiste en velar por el adecuado funcionamiento del modelo de pre-
vención. En esta ocupación genérica pueden verse implicadas numerosas
tareas puntuales como ser, por ejemplo21,
— Diseño e implementación del modelo de prevención.
— Monitoreo de riesgos y de su adecuado funcionamiento.
— Auditoría de compliance
— Liderar investigaciones internas
— Realizar reportes a las autoridades internas o externas exigidas
— Capacitar recursos humanos
— Asesorar a la alta gerencia en la adopción de decisiones comerciales
— Gestión de los canales de denuncias
De todos modos, el oficial de cumplimiento no debe cargar personal-
mente con todas estas actividades, puesto que es perfectamente válido de-
legarlas a terceros dentro o fuera de la organización. Posiblemente el caso
más significativo lo encontramos en el diseño e implementación del mode-
lo de prevención, dado que muchas veces suele representar una adecuada
disposición de recursos humanos el contratar a una firma externa para
que se encargue de esta tarea, para que luego el oficial de cumplimiento se
encargue de gestionarlo.
Una primera decisión relevante que adoptó el legislador es que el en-
cargado de prevención sea designado por la máxima autoridad de la orga-
nización. Ello implica, en primer lugar, la importancia de la función que
desempeña el oficial de cumplimiento y el compromiso de la máxima auto-
ridad con su función. Al mismo tiempo, esta decisión debería darnos pistas
respecto a la posición que el oficial de cumplimiento debería tener en la
organización. Cabe interpretar que la implicación de la alta dirección en
su designación nos invita a concluir que el oficial de cumplimiento debe-
21
Para más detalles sobre las funciones del oficial de cumplimiento, cfr. Bermejo/
Montiel, 2021, pp. 233 y ss.
ría ocupar una posición de gerente o equivalente. También la exigencia

de que la máxima autoridad sea la encargada de su designación lleva a
considerar que también asume funciones de control y supervisión de la
función del oficial de cumplimiento. Naturalmente, según se analizará a
continuación, esa supervisión es algo muy distinto a una intromisión que
implique retacear autonomía. Se trata más bien de verificar que el oficial
de cumplimiento está cumpliendo con sus obligaciones al frente del área
de compliance.
También se encontraba en el art. 4 1) a. otra decisión relativa a la du-
ración del encargado de prevención en su cargo (3 años, con posibilidad
de ser renovada), sin embargo, la modificación de este artículo a partir de
la Ley 21.595 hace referencia al encargado de previsión en el art.4 N°3 sin
señalar la duración en el cargo. Esta regulación resulta poco frecuente a
nivel comparado, pero al mismo tiempo es razonable si se tiene en con-
sideración el desgaste que suele aparecer en la práctica con una misma
gestión en compliance que dura numerosos períodos y que se puede tra-
ducir en un relajamiento de la integridad. Las prácticas internacionales en
las grandes firmas que manejan sofisticadas e innovadoras estructuras de
compliance recomiendan que el oficial de cumplimiento no permanezca
demasiado tiempo en su cargo. Esta recomendación no descansa tanto en
la creencia de que la permanencia en el mismo puesto merma la integri-
dad del encargado de prevención, como en la necesidad de su rotación en
la empresa para aportar valor en otras áreas de la organización.
Fundamental resulta la exigencia de la autonomía del encargado de
prevención respecto de quienes lo han designado y debe supervisar su ta-
rea. Precisamente una de las circunstancias que condenó al modelo de
prevención de Corpesca fue la clara dependencia del órgano de cumpli-
miento del Directorio22.
La autonomía de la función está asociada a que las decisiones del oficial
de cumplimiento no estén condicionadas por las de otro órgano, al que
podría no convenirle ciertas decisiones procedentes del área de complian-
ce. Se rompe esa autonomía, por ejemplo, cuando la rigurosidad de los
controles o la supervisión de operaciones riesgosas depende del sujeto im-
plicado en la actividad supervisada o cuando se paraliza una investigación
interna cuando entre los sospechosos figura alguien de la alta dirección.
22
Sentencia del 16 de abril de 2021 del Tercer Tribunal Oral en Lo Penal de San-
tiago, Causa c/ Jaime Orpis Bouchon, Marta Isasi Barbieri, Raúl Lobos Torres y
Corpesca S.A., f. 1097.
Naturalmente una de las maneras de garantizar esta autonomía es a través

de protocolos que establezcan reglas que eviten conflictos de intereses o
que en caso de presentarse ofrezcan reglas para superarlos.
¿Cuándo se ve garantizada la autonomía? Ejemplos:
— Cuando el encargado de prevención puede conducir una investi-
gación interna sin presiones externas para que paralice o redirec-
cione el curso de la investigación.
— Cuando el oficial de cumplimiento no recibe presiones en rela-
ción al contenido de los reportes y recomendaciones que debe
hacer.
— Cuando el oficial de cumplimiento es la principal autoridad de la
organización que puede acceder al canal de denuncias.
— Cuando el oficial de cumplimiento no recibe presiones para re-
lajar controles en ciertos sectores de la organización o respecto a
ciertas transacciones.
La ley invita a considerar la autonomía como una “no-interferencia”
en las decisiones del encargado de cumplimiento. Ahora bien, muchas ve-
ces entender la independencia exclusivamente en los términos de “no-in-
terferencia” puede conducir a funcionamientos defectuosos del área de
compliance, dado que puede conllevar aislamiento y marginalización del
oficial de cumplimiento respecto a las decisiones importantes de la organi-
zación. En mi opinión, la decisión del legislador de exigir en el art. 4 3) Ley
Nº 20.393 que los sujetos responsables de la aplicación de los protocolos
cuenten con “la adecuada independencia, dotados de facultades efectivas
de dirección y supervisión y acceso directo a la administración de la perso-
na jurídica” apunta justamente en la dirección de garantizar activamente
su autonomía. Puede darse el caso de un oficial de cumplimiento que no
sufre interferencias de otras instancias en la toma de sus decisiones, pero
que se ve limitado a la hora de realizar investigaciones exhaustivas por la
falta de recursos. Aquí se ve comprometido su adecuado desempeño en
el cargo, sino también peligra su autonomía, dado que la falta de presu-
puesto puede ser una estrategia para limitar la actuación del encargado
de prevención, lo cual el mismo N°3 ya señalado, indica que se le deberá
proveer los recursos, medios materiales e inmateriales necesarios que sean
adecuados con el tamaño y capacidad económica de la persona jurídica.
Pero también una manera en que puede verse limitada su autonomía
y su trabajo es cuando tiene un acceso limitado a la información dispo-
nible en la organización. En la praxis cada vez se torna más importante
que el oficial de cumplimiento esté al tanto de todas las decisiones im-

portantes de la organización, para que pueda hacer un acompañamiento
del negocio más seguro desde el punto de vista de los riesgos penales.
Ello aconseja, por ejemplo, incorporar al oficial de cumplimiento en las
reuniones del directorio. Naturalmente este acompañamiento le permi-
te al oficial de cumplimiento contar con más información a la hora de
asesorar, reportar o tomar decisiones dentro de su área. De lo contrario,
las decisiones del encargado de prevención pueden verse sesgadas. Jus-
tamente, el art. 4 3) Ley Nº 20.393 demanda como requisito el acceso
directo del encargado de prevención a la Administración de la persona
jurídica. Ahora bien, es lógico pensar que este acceso implica también
que la máxima autoridad debe poner toda la información, documenta-
ción y bases de datos disponibles al alcance del oficial de cumplimiento
para que se pueda hacer un relevamiento lo más exhaustivo posible de
los riesgos jurídico-penales.
3. Establecimiento de un sistema de prevención de delitos

Este segundo contenido mínimo establecido por la ley respecto al
modelo de prevención congrega los elementos principales que hacen a
un programa de compliance. Este sistema debe contener aquellas herra-
mientas que permiten evitar la comisión de delitos. El art. 4 2) Ley Nº
20.393 menciona cuáles son esas herramientas, pero al mismo tiempo
establece una exigencia muy importante relativa a quiénes deben inter-
venir en el establecimiento de ese sistema de prevención en su numeral
3°. El art. 4 3) Ley N° 20.393 establece que el oficial de cumplimiento,
conjuntamente con la Administración de la persona jurídica, deberán
adoptar las medidas necesarias. Al margen de la aclaración hecha opor-
tunamente respecto a que el diseño y la implementación de un sistema
de prevención puede válidamente ser delegada a una empresa externa,
lo más relevante en este punto tiene que ver con la participación de
la alta dirección en el establecimiento del sistema. Aquí la ley exige el
compromiso explícito de la Administración de la persona jurídica con el
compliance y al mismo tiempo permite inferir que, luego del estableci-
miento, también debe verse involucrada con la implementación y soste-
nimiento del modelo de prevención. Adicionalmente, con base en esta
regulación es razonable que, al determinarse los niveles de responsabili-
dad en la supervisión del compliance, se exija cierto nivel de control de
la Administración sobre el encargado de cumplimiento. Aquí se torna
especialmente relevante ejercer un control sobre la gestión del área de
compliance.
Al margen de esta cuestión, este apartado del art. 4 menciona explícita-

mente determinados elementos que debe tener el sistema de prevención.
Concretamente reconoce:
— Mapa de riesgos
— Protocolos y procedimientos de prevención
— Políticas sobre manejo de recursos financieros
— Régimen disciplinario
— Canales de denuncias
— Sistema de investigaciones internas
El art. 4 1) Ley Nº 20.393 alude a la necesidad de que el sistema de pre-
vención contenga un mapa de riesgos, al requerir la identificación de ac-
tividades o procesos de la organización que impliquen riesgos de una con-
ducta delictiva. Justamente, un mapa de riesgo es el producto resultante
de un exhaustivo proceso de identificación, comprensión y evaluación de
riesgos (Bermejo/Montiel, 2020, pp. 201 y ss.), expresados en documen-
tos que atestiguan por escrito y visualmente todos los análisis de riesgos
realizados. Así, un mapa de riesgos encuentra expresión, principalmente,
en dos documentos fundamentales: sobre todo el informe de riesgos, don-
de se explicitan el método de análisis seguido y las concretas decisiones y
valoraciones adoptadas en el proceso de risk assessment. Se trata de la base
insoslayable de cualquier modelo de prevención, no solamente porque re-
fleja las particularidades de la organización que va a auto-organizarse en
compliance, sino también porque permite proyectar sobre bases sólidas el
diseño y la implementación del programa de cumplimiento.
Tres pasos fundamentales se ven implicados en el proceso que implica
el mapeo de riesgos: identificación, comprensión y evaluación de riesgos23.
Básicamente este procedimiento permite analizar cuáles son las posibilida-
des reales de que la organización pueda ser sometida a un proceso penal
o condenada por la comisión de un delito imputable a la persona jurídica.
La disposición legal es clara al identificar los riesgos que deben ser re-
levados y analizados en el mapa de riesgo: los riesgos jurídico-penales aso-
ciados a los delitos del catálogo del art. 1 Ley Nº 20.393. Este criterio legal
es de utilidad desde el punto de vista práctico, porque impide que el con-
23
Algunos documentos suelen reconocer etapas parcialmente distintas en un mapa
de riesgos como, por ejemplo, las contempladas en el documento de la Organiza-
ción Mundial del Comercio “Guide to corruption risk mapping”.
sultor u oficial de cumplimiento se extravíe considerando otros tipos de

riesgos, irrelevantes para esta ley.
Asimismo, es fundamental que se comprenda cabalmente la totalidad
de los procesos que desencadenan o incrementan esos riesgos. Para ello, se
necesita comprender cómo transcurren tales procesos, lo que implica con-
siderar, entre otros factores, quiénes intervienen, cómo es el circuito del
proceso, qué controles existen, la frecuencia y duración del proceso, etc.
La última etapa y seguramente la más complicada es la de la evalua-
ción de los riesgos, cuando, sobre la base del impacto y la probabilidad del
riesgo, se calcula su entidad (por ejemplo, crítico, alto, medio, bajo, etc.).
Generalmente un estudio riguroso del impacto demanda un gran trabajo,
pues no solamente se torna necesario considerar las posibles penas que
podrá recibir la persona jurídica por el delito, sino también la magnitud de
la pena esperable, la cual aparece condicionada por los criterios jurispru-
denciales y la tasa de condena. Asimismo, necesitan ser considerados en el
impacto las consecuencias accesorias y las repercusiones reputacionales.
Por su parte, la probabilidad obliga a tomar en consideración la frecuen-
cia del evento desencadenante del proceso y otros criterios, tales como, la
reputación de la contraparte o si la organización cuenta o no con antece-
dentes penales. Todo esto es necesario, al menos para la determinación de
la gravedad de los riesgos inherentes.
Entre los elementos del sistema de prevención aparecen también los pro-
tocolos y las políticas de disposición de recursos financieros. Estos dos elemen-
tos suelen estar correlacionados e incluso no es infrecuente que aparezcan
contenidos en un mismo documento. Los protocolos son básicamente docu-
mentos que contienen normas deontológicas o procedimentales orientadas
a la prevención de determinados delitos, por lo que, además de contemplar
reglas de comportamiento que deben cumplir colaboradores internos y ex-
ternos de la organización, también aparecen reglas procedimentales relativas
a procesos de control y supervisión. En general, los protocolos suelen asociar-
se al tipo de delito que se pretende impedir. Por ejemplo, para la prevención
del cohecho nacional o transnacional las empresas suelen contar con proto-
colos de relacionamiento con el sector público, de donaciones y obsequios.
Igualmente, en relación a la prevención del cohecho privado existen otros
protocolos que establecen, por ejemplo, reglas relativas a los recaudos que
deben adoptarse antes de tomar una decisión relativa a la contratación de un
servicio o producto. También son muy conocidos los manuales de prevención
del lavado de activos, los cuales están integrados en general por numerosos
protocolos que rigen diferentes aspectos de la prevención del lavado.
Especialmente respecto a los protocolos de prevención de la corrup-

ción pública o privada, las políticas relativas a la disposición de recursos
financieros son fundamentales, dado que es un modo de impedir una de
las contraprestaciones implicadas en el delito. Estas políticas pueden es-
tablecer, por ejemplo, restricciones al uso o a la disposición de dinero en
efectivo o de dinero de la “caja chica”, la bancarización de todos los pagos,
control de la integridad de proveedores, etc. Que la ley haya mencionado
abiertamente los procedimientos de administración y auditoría de recur-
sos financieros es consecuencia de su notable importancia respecto a la
prevención de la corrupción.
Los programas de compliance tienen además elementos destinados a
prevenir delitos y otros que, una vez que éstos han sido cometidos, ayu-
dan a detectarlos, investigarlos y reaccionar frente a ellos. Esta otra faceta
“no-preventiva” se conecta con tres herramientas fundamentales del com-
pliance: los canales de denuncias, las investigaciones internas y el régimen
disciplinario. Mientras que los dos primeros elementos integran la faceta
de la detección del programa de cumplimiento, el último integra la faceta
de reacción. Todas estas herramientas resultan imprescindibles; tal es así
que, según el art. 4 2) Ley Nº 20.393, para que una persona jurídica pueda
verse exonerada de responsabilidad penal es necesario que su modelo de
prevención cuente con estos tres elementos.
En el mundo del compliance, los canales de denuncia consisten en un
sistema de reporte de irregularidades (whistleblowing) que se estructura
sobre la construcción de vías internas y externas de comunicación en las
organizaciones, con la finalidad de que la información relativa a infraccio-
nes de normas legales, regulatorias o éticas (ya sea que puedan atribuirse
a la propia empresa, a directivos o a empleados) pueda llegar a aquellos
que pueden tomar medidas adecuadas para evitar la consumación de un
hecho ilícito y/o imponer sanciones por los ya consumados. Su función
es entonces evitar los daños sociales que se derivan de la acción en curso,
promover la investigación de los hechos ocurridos y coadyuvar a prevenir
futuras infracciones. Es importante considerar aquí que, si bien es posible
distinguir un whistleblowing externo (v.gr. los canales de denuncias de fis-
calías u organismos públicos en los se pretende promocionar la detección
de delitos) y otro interno24, la Ley Nº 20.393 exige naturalmente un canal
24
Conf. Cavico, Frank., “Private sector...”, cit., ps. 548, 575. La misma distinción
en Jositsch, Daniel., “’Whistleblowing’...”, cit., p. 98. También en Miceli, Mar-
cia. — Near, Janet. — Schwenk, Charles. H., “Who blows the whistle and why?”,
Industrial and Labor Relations Review, vol. 45, nro. 1, octubre de 1991, ps. 113 y ss.
de denuncias internos, es decir, que la propia organización sea titular de

su propio canal de denuncias al que lleguen denuncias sobre sospechas
o delitos consumados de sus colaboradores o autoridades o de socios de
negocios. Esta circunstancia no obsta que los canales de denuncias puedan
ser gestionados por terceros ajenos a la empresa, por razones de eficacia o
de garantizar mayores niveles de objetividad e imparcialidad.
Los canales de denuncias asumen en la actualidad formatos diferentes:
desde las denuncias por correo electrónicos, hasta las denuncias telefóni-
cas, pasando por las aplicaciones en las páginas de las empresas que remi-
ten a un sitio web en el que de manera interactiva se permite y acompaña al
denunciante al formular la denuncia. En la actualidad esta última opción
es la más frecuente, no solamente porque ofrece al denunciante la posibili-
dad de adjuntar documentación que acompañe su denuncia, sino porque
también ofrece más garantías de confidencialidad y además se puede hacer
un seguimiento más seguro del trámite iniciado tras la denuncia.
Estos canales no solamente están abiertos a los colaboradores internos
de la organización, sino que debe promoverse su uso también entre clien-
tes, accionistas, competidores, proveedores, etc. (Ragués i Vallès, 2013,
pp. 177 y ss.) Es fundamental admitir un amplio espectro de potenciales
denunciantes y fomentar entre ellos que se animen a denunciar cuando lo
consideren necesario. En el diseño de las políticas de los canales de denun-
cias deben adoptarse recaudos a la hora de fijar quiénes son las personas
autorizadas a recibir las denuncias. Naturalmente la principal persona que
está destinada a recibir las denuncias hacia dentro de la organización es el
oficial de cumplimiento. Sin embargo, es necesario tener en consideración
que esta persona no puede ser la única con las “llaves” para acceder al bu-
zón de denuncias, pues se presenta el riesgo de un ocultamiento cuando
el denunciado sea el propio compliance officer. En cuanto al contenido
de la denuncia, está claro que la ley exige un canal que permita reportar
la comisión de los delitos del catálogo del art. 1 Ley Nº 20.393, sobre todo
si tomamos en consideración que estamos aludiendo a un sistema de pre-
vención de delitos. Sin embargo, ello no obsta a que también pueda servir
este canal para informar sobre la comisiones de otras infracciones legales
o éticas25. Más allá de esta cuestión, es necesario tener en claro que estos
canales de denuncias son algo distinto a las vías de atención al cliente que
25
Para una mirada panorámica de las principales normativas anglosajonas y las re-
comendaciones de las normas técnicas en relación al contenido de la información
que debe suministrarse en la denuncia, cfr. Bermejo/Montiel, 2021, pp. 331 y ss.
ofrecen una instancia de queja o de propuestas de mejoras en relación a la

prestación de servicios o a la adquisición de productos.
Dos de las cuestiones más delicadas de los canales de denuncias están
asociadas a las estrategias para promover las denuncias y para proteger a
los denunciantes. Ambas cuestiones están naturalmente ligadas entre sí,
pues la protección del denunciante es también un mecanismo para alertar
a whistleblowers. Una de las cuestiones más discutidas en este punto es si
los canales de denuncias pueden aceptar denuncias anónimas o únicamen-
te debe aspirar a mantener la confidencialidad de quien ha denunciado26.
La ley local no establece ningún tipo de exigencia al respecto, por lo que
existen buenas razones para entender que está permitido (e incluso resulta
recomendable) aceptar también denuncias anónimas, siempre que sean
realizadas de buena fe27.
Una vez que se ha denunciado un hecho y existen indicios claros de la
seriedad de la denuncia, es necesario que se active el sistema de investiga-
ciones internas28. Las internal investigations pueden ser entendidas como
el conjunto de medidas adoptadas por una organización, destinadas a es-
clarecer las circunstancias que dieron lugar a la existencia de una noticia
criminis y a determinar los cursos de acción que es necesario seguir como
consecuencia de la información obtenida29. Además, a nuestro modo de
ver, estos procedimientos —en tanto componentes del compliance— se
26
Sobre esta discusión, cfr. Ragués i Vallès, 2013, pp. 181 y ss.
27
La ISO 37001:2016 sugiere tratar los reportes de forma confidencial y proteger la
identidad del informante y otras personas referidas en el reporte, aunque tam-
bién admite los reportes anónimos.
28
En la Ley Nº 20.393 no se establece si debe privilegiarse o no la realización de una
previa investigación interna antes de formular una denuncia formal ante los órga-
nos de persecución penal. En los EEUU la Sarbanes Oxley Act (2002) establece que
el empleado puede optar entre informar a su empleador o, directamente, realizar
un reporte externo dirigido a las autoridades estatales. Al respecto, cfr. Cavico,
Frank., “Private sector...”, cit., ps. 570-571. En cambio, según la Dodd-Frank Act
(2010), la SEC no exige a un miembro de una empresa que haga uso del procedi-
miento interno de reporte de su empresa antes de denunciarla, pero se incentiva
a promover los reportes internos como paso previo, por ejemplo, mediante el
incremento del monto de la retribución que recibirá el informante si ha apelado
primero a ese canal interno. Sobre esta última cuestión, Ellis/Moushey, “Los
whistleblowers...”, cit., p. 1058.
29
Kubiciel, Michael, “Interne Untersuchungen...”, cit., p. 4; Sahan, Oliver., “Inves-
tigaciones empresariales internas desde la perspectiva del abogado”, en Kuhlen,
Lothar. — Montiel, Juan Pablo. — Ortiz de Urbina Gimeno, Iñigo. (eds.), Com-
pliance y teoría..., cit., p. 246. De modo similar, Saccani, Raúl., “Investigaciones
implementan con el objetivo de investigar las responsabilidades por los

delitos cometidos por la empresa o alguno de sus órganos, no así —en
cambio— para esclarecer hechos cometidos por un trabajador o colabo-
rador en perjuicio de la empresa30. A grandes rasgos existen dos grandes
momentos en las investigaciones internas. En el primero se adopta una
serie de medidas para averiguar si la ilicitud existió o no y, en su caso,
determinar de qué manera ocurrió, qué miembros de la empresa partici-
paron, etc. Para ello se implementan diferentes medidas, como entrevistas
con los empleados involucrados, revisión de correos electrónicos, llamadas
telefónicas y chats, análisis de registros audiovisuales y documentación, etc.
Mientras que, en un segundo momento, se elabora un informe final con las
principales conclusiones a las que se llegó en las investigaciones internas.
Si tomamos en consideración que las investigaciones internas de com-
pliance han cobrado notoriedad en el marco de grandes escándalos de
corrupción, es natural que se piense que estas pesquisas solamente estén
asociadas a situaciones extraordinarias. Por el contrario, las investigaciones
internas son un componente fundamental de los modernos programas de
compliance y su correcto funcionamiento les permite a las organizacio-
nes contar con un sólido sistema de detección. Esta circunstancia es fun-
damental porque le permite a la organización anticiparse al impacto de
la intervención de la autoridad de persecución penal, planificar mejor su
estrategia de defensa y permite además la adopción de medidas de reme-
diación. Todo esto explica que en la actualidad se trate de un fenómeno
en franca expansión y que la cantidad de investigaciones internas en las
organizaciones haya incrementado exponencialmente31.
Entre los diferentes tipos de investigaciones internas se destacan las pre-
judiciales y parajudiciales32. En primer lugar, encontramos aquellas en las
que las pesquisas empresariales se inician tan solo a partir de meros indi-
cios respecto de la comisión de un delito, sin que el hecho haya tomado
estado público como consecuencia de haber llegado todavía a los estrados
judiciales. En segundo lugar, las investigaciones internas parajudiciales son
internas: una guía práctica”, en Saccani, Raúl. — Durrieu, Nicolás. (dirs.), Com-
pliance, anticorrupción..., cit., p. 313.
30
Sahan, Oliver., “Investigaciones empresariales...”, cit., p. 246, quien no obstante
advierte que a menudo en estos casos se habla de investigaciones internas.
31
En detalle al respecto, Bermejo/Montiel, 2021, pp. 367 y ss.
32
Montiel, 2014, pp. 498 y ss. Esta distinción es parcialmente coincidente con la
acercada por Sahan, Oliver., “Investigaciones empresariales...”, cit., ps. 172 y ss.,
entre investigaciones empresariales voluntarias e involuntarias.
aquellas en las que las pesquisas empresariales se inician luego de estar en

marcha una investigación fiscal contra la empresa o alguno de sus miem-
bros por la comisión de un delito. Seguramente este segundo grupo es el
más conocido y un buen ejemplo de ello lo ofrece la macroinvestigación
empresarial de Siemens. Existen buenas razones para que los jueces, fisca-
les, consultores y empresarios prefieran las investigaciones internas preju-
diciales. La realización espontánea de investigaciones internas por parte
de la organización marca una actitud de compromiso con la legalidad muy
distinta a la de la empresa que ha esperado a encontrarse seriamente com-
prometida y, recién ahí, decide denunciarse o investigarse. Es habitual que
muchas organizaciones, por temor al costo reputacional derivado de una
mediatización de las irregularidades cometidas por la empresa, deciden
no autoinvestigarse, especulando con que la comisión del delito no salga
a la luz. Indudablemente, la actitud de la organización que, pese a correr
el riesgo de sufrir una afectación reputacional, decide realizar una investi-
gación interna y luego —según cuál haya sido la información obtenida—
autodenunciarse, demuestra indudablemente un mayor compromiso con
la legalidad y una clara disposición a reencauzar la conducta de la persona
jurídica33.
El régimen disciplinario que exige la Ley Nº 20.393 como componente
del sistema de prevención de delitos suele ser vinculado como parte de las
investigaciones internas34, sin embargo, se trata de un elemento de com-
pliance que merece ser diferenciado, al menos por dos razones. La prime-
ra es que las investigaciones internas solamente buscan indagar los hechos
asociados a una denuncia o reporte de irregularidad y no imponer una
sanción. Una vez terminada una investigación interna puede o no haber
sanciones. La segunda razón es que la activación del régimen disciplinario
no necesariamente presupone que se haya realizado previamente una in-
vestigación de compliance. Más allá de esta cuestión conceptual, hay que
destacar aquí que el régimen de sanciones permite principalmente refor-
zar internamente el sistema de compliance porque demuestra principal-
mente que la organización se toma en serio las infracciones al modelo de
33
Por ejemplo, la legislación argentina (Ley Nº 27.401) reconoce que una de las
circunstancias por las que una persona jurídica puede ser eximida de pena es la
autodenuncia basada en una investigación interna, con lo que se le reconoce explí-
citamente relevancia a las investigaciones internas pre-judiciales.
34
Así se interpreta a este fenómeno en el documento de la Oficina Anticorrupción
de Argentina “Lineamientos de integridad para el mejor cumplimiento de lo establecido en
los artículos 22 y 23 de la Ley N° 27.401 de Responsabilidad Penal de Personas Jurídicas”,
apart. 3.7.
prevención. Los incentivos a comportarse conforme a los estándares éticos,

de compliance y legales cambia drásticamente cuando las irregularidades
son efectivamente sancionadas.
Entre las sanciones se encuentran generalmente el apercibimiento, la
rescisión contractual, las multas, etc. No resulta posible hacer una enu-
meración de las sanciones que adopta la mayoría de las organizaciones
a nivel internacional, pues se trata de una cuestión de Derecho laboral,
muy sensible a las particularidades de cada país. En este contexto, en el
diseño de un programa de compliance a la hora de seleccionar las san-
ciones permitidas por la legislación laboral local deben tenerse en cuenta
aquellas que, además de ser proporcionadas a los delitos, sean suficiente-
mente disuasivas.
El art. 4 2) Ley Nº 20.393 segunda parte, contiene un apartado de gran
importancia que se orienta a garantizar que las medidas de compliance
adoptadas por la persona jurídica no afecten derechos laborales de colabo-
radores internos, con independencia de su jerarquía. Basta con tener en
consideración, por ejemplo, que en el marco de una investigación interna
puede ser necesario revisar correos electrónicos laborales de los emplea-
dos de la compañía o en el marco de la imposición de sanciones un traba-
jador puede ser suspendido. Ello quiere decir que la implementación de
un modelo de prevención adecuado conlleva la adopción de medidas que,
si bien tienen amparo legal, pueden condicionar de manera significativa la
relación laboral35. Puntualmente, esta regulación viene a establecer que los
trabajadores deben tener conocimiento sobre todas estas medidas y sobre
cómo ellas inciden en su trabajo. En este sentido, todas las obligaciones,
prohibiciones y sanciones deben estar plasmadas en los reglamentos y las
condiciones implicadas con ellas incluidas en los contratos. Si bien la ley
simplemente exige la puesta en conocimiento, entiendo que, por el tipo
de relación jurídica de que se trata, es necesario contar con el consenti-
miento del trabajador, por lo que la organización debe ser suficientemente
diligente para recabar de todos sus colaboradores y directivos su consenti-
miento antes de implementar respecto a ellos cualquier medida de com-
pliance que comprometa sus derechos laborales36.
35
En detalle respecto a las implicancias de las medidas de compliance en los derechos
laborales (y en especial, en la protección de la intimidad), cfr. Montiel, Gómez
Martín.
36
Sobre el alcance de las medidas que debe adoptar la organización y los límites a
los casos en los que es válido el consentimiento, cfr. Montiel
4. Supervisión y certificación de un sistema de prevención de delitos

Un tercer grupo de requisitos que debe cumplir un modelo de preven-
ción para que puedan tenerse por cumplidos los deberes de supervisión y
dirección es la existencia de mecanismos de supervisión y la certificación.
Especialmente, la referencia a la certificación ha despertado importantes
críticas en la doctrina, especialmente por la desconfianza que todavía exis-
te con las certificaciones en compliance.
La exigencia de contar con un sistema de monitoreo, establecida en el
art. 4 4) Ley Nº 20.393, resulta absolutamente razonable, sobre todo si lo
que le interesa al legislador es conceder la eximente solamente a aquellas
personas jurídicas que cuentan con un sistema serio de prevención de de-
litos. Aquí es valioso tener en consideración que la “vida” de un programa
de compliance pasa por tres etapas: 1. Diseño; 2. Implementación; 3. Vi-
gilancia, supervisión y control interno (Montiel/Bermejo, 2021, pp. 34
y s.; García Cavero, 2017, pp. 39 y ss.)37. Una vez que un sistema ha sido
correctamente diseñado es necesario que sea debidamente implementado,
lo que no es una cosa distinta a poner en funcionamiento el modelo de
prevención. Concretamente, el art. 4 4) Ley Nº 20.393 se refiere aquí a la
tercera etapa, la que prosigue al momento de la efectiva implementación
(Portales González, 2019, pp. 217 y ss.). No es inusual que al comenzar
a funcionar el programa de cumplimiento se observen manifestaciones del
riesgo diferentes a las consideradas inicialmente al hacer el mapa de ries-
gos originario y al diseñar el programa. También es necesario monitorear
el comportamiento de los riesgos y hacer un seguimiento de las medidas
de control adoptadas internamente para inocuizarlos. Un sistema de com-
pliance que carece de mecanismos de supervisión o monitoreo de riesgos
es un sistema que renuncia en verdad a una herramienta clave para preve-
nir adecuadamente la comisión de delitos.
En este punto también es importante la decisión que adopta el legisla-
dor. Al igual que en la implementación del programa de compliance, tam-
bién es necesario que el establecimiento de los métodos para garantizar la
eficacia del modelo y de los mecanismos de supervisión se realice conjunta-
mente por la Administración y el encargado de prevención. Esto significa,
en otras palabras, que de la Administración no se espera únicamente un
apoyo inicial y que posteriormente se desentienda del compliance. Al con-
trario, el apoyo de la alta dirección debe estar presente también cuando el
37
De modo similar, Artaza Varela/Torres Cepeda (2019), 98 y ss.
modelo está en funcionamiento y se requiere invertir recursos en el moni-

toreo de riesgos y, en general, en la detección de ilícitos.
Por su parte, el legislador introdujo en el art. 4 4) b. la figura de las cer-
tificaciones38, pero esto ya no se contempla en la modificación implemen-
tada por la Ley 21.595. En el mundo del compliance, la certificación es el
proceso llevado a cabo por una entidad reconocida como independiente
de las partes interesadas, mediante el que se manifiesta la conformidad de
una determinada empresa con los requisitos definidos en normas o especi-
ficaciones técnicas39. Así, la entidad certificadora (UNE, ISO, IRAM, TÜV,
etc.) cuenta con documentos que establecen unos estándares técnicos rela-
tivos a los criterios de calidad en un determinado sector y la certificación se
concede cuando los procesos de una persona jurídica satisface esos están-
dares. En materia de compliance las normas técnicas más importantes son
las normas ISO 37001 (sistemas de gestión de compliance antisoborno),
ISO 37301 (sistemas de gestión del compliance) e ISO 37002 (sistemas de
gestión de denuncias de irregularidades).
Sin dudas, la intuición y la experiencia práctica nos pueden llevar a
pensar que un programa de cumplimiento certificado con normas ISO es
forzosamente adecuado (Rey Duarte, 2019, p. 273). Sin embargo, cada
vez con mayor frecuencia es posible encontrar voces en la doctrina que
cuestionan el valor de las certificaciones y que, en definitiva, estiman in-
conveniente concluir de manera forzosa que un sistema de compliance
certificado con ISO es necesariamente adecuado (García Cavero, Percy,
2017, pp. 153 y ss.). Se conocen casos judiciales en los EEUU, en los que
directivos de una empresa se veían firmando acuerdos de no persecución
con el DOJ poco tiempo después de que la empresa para la que trabajaban
había obtenido la certificación de su programa de compliance. Al mismo
tiempo, también en el ámbito regulatorio se aprecia cierto escepticismo
respecto del valor de estas certificaciones40.
38
Sobre las particularidades de las certificaciones en el marco de la Ley Nº 20.393,
cfr. Rey Duarte, p.
39
Sobre los diferentes procesos de certificación en compliance, cfr. Traudes, 2017,
pp. 159 y ss.
40
Una de las razones de este escepticismo tiene que ver con que, pese a que en las
certificaciones se sigue el mismo proceso y metodología, ellas no son realizadas
por las mismas entidades certificadoras, por lo que el resultado puede ser diver-
so. Adicionalmente, si se tiene en consideración que ISO habilita el acceso a un
proceso abreviado de certificación en las normas de 37.001 cuando las compañías
hubiesen obtenido con anterioridad la certificación correspondiente a alguno de
En realidad, conviene no olvidar que las certificaciones de calidad al

estilo ISO solo acreditan la estandarización de procedimientos y no nece-
sariamente una mirada profunda sobre la calidad de un sistema de com-
pliance antisoborno (Schefold, 2017, pp. 27 y ss.; Montaner Fernán-
dez/Fortuny, 2018, pp. 3 y 9). En este punto resulta crucial entender que
una certificación se realiza sobre la base de una imagen del estado de cosas
que se toma durante un período determinado, sin contemplar la dimen-
sión más dinámica del proceso y de la vida empresarial. No obstante, ello
no debería llevarnos a negar toda relevancia práctica a las certificaciones,
sino que, en el mejor de los casos, a darle su justo valor. Desde este punto
de vista, si bien una certificación no acredita la adecuación (y menos aún la
eficacia del programa de cumplimiento), sí evidencia que la empresa tiene
cierto desarrollo de una cultura de cumplimiento a nivel interno. Por otro
lado, no debe negarse el valor comercial y las ventajas competitivas que
ofrece en el mercado a una empresa que tiene su programa de compliance
certificado.
En este marco resulta absolutamente razonable la modificación intro-
ducida por la nueva ley, dado que reemplaza la exigencia de la certificación
por la previsión de evaluaciones periódicas por terceros independientes y
mecanismos de perfeccionamiento o actualización. Sin dudas estas medi-
das resultan mucho más útiles para evaluar si el programa funciona correc-
tamente.
Bibliografía
ARTAZA VARELA: “Propuesta relativa a los criterios de atribución de responsabilidad
penal de personas jurídicas en Chile”, en Artaza Varela (dir), Compliance penal:
Sistemas de prevención de la corrupción, DER, 2019.
ARTAZA VARELA/TORRES CEPEDA: “Planificación estratégica e identificación de
riesgos”, en Artaza Varela (dir.), Compliance penal: Sistemas de prevención de la
corrupción, DER, 2019.
BERMEJO/MONTIEL: Teoría y praxis del criminal compliance. Compliance antilava-
do de activos y anticorrupción en la Argentina, La Ley/Thomson Reuters, 2020.
BOCK, Dennis: Criminal compliance, Nomos, 2011.
BOEHLER/MONTIEL, ¿Cómo testear la adecuación de un programa de compliance?
Introducción al “modelo de los tres filtros”, Política Criminal, N° 31, 2021.
los estándares 9001 Calidad, 14000 Medio Ambiente, y/o 50001, los resultados
pueden no ser del todo deseables. Al respecto, Cherepanova, 2020.
CAVICO, Frank: “Private sector whistleblowing and the employment-at-will doctrine:

a comparative legal, ethical, and pragmatic analysis”, South Texas Law Review, N°
45, 2003-2004.
CHEREPANOVA, Vera: “ISO 37.001: not all certifications are created equal”, The FCPA
Blog del 3/4/2019, en http://www.fcpablog.com/blog/2019/4/3/iso-37001-not-
all-certifications-are-created-equal.html (2/2/2020).
ELLIS, Mattenson. — MOUSHEY, Leah: “Los whistleblowers en investigaciones inter-
nacionales: la regulación estadounidense”, en Saccani, Raúl. — Morales Oliver,
Gustavo. (dirs) Tratado de compliance, Thomson Reuters — La Ley, 2018, t. 1.
GARCÍA CAVERO Percy: Criminal Compliance, Palestra Editores, 2017.
HAUSCHKA, Cristoph: “Einführung”, en Hauschka, Cristoph. (ed.), Corporate com-
pliance. Handbuch der Haftunsvermeidung im Unternehmen, C.H.Beck, 2007.
HERNÁNDEZ: “’La introducción de la responsabilidad penal de personas jurídicas en
Chile”, Política Criminal, N° 9, 2010.
JOSITSCH, Daniel: “’Whistleblowing’ und Korruptionsbekämpfung”, en Wohlers,
Wolfgang. (ed.), Neuere Entwicklungen im schweizerischen und internationalen
Wirtschaftsstrafrecht, Schulthess, Zürich — Basel — Genf, 2007.
KAPTEIN, Muel: Why Do Good People Sometimes Do Bad Things?: 52 Reflections
on Ethics at Work (July 25, 2012). Disponible en SSRN: https://ssrn.com/abs-
tract=2117396 or http://dx.doi.org/10.2139/ssrn.2117396
KUHLEN, Lothar: “Cuestiones fundamentales de compliance y derecho penal”, en
KUHLEN, Lothar. — Montiel, Juan Pablo. — Ortiz de Urbina Gimeno, Iñigo.
(eds.), Compliance y teoría del derecho penal, Marcial Pons, 2013.
KUBICIEL, Michael: “Interne Untersuchungen in Unternehmen”, Der Betrieb, N° 33,
2018.
LASCANO, Carlos, “Responsabilidad penal de las personas jurídicas en la Ley 27.401”,
El Foro de Córdoba, N° 198, 2019.
LORENZINI BARRÍA, Jaime: “Compliance en protección al consumidor: una práctica
indispensable al interior de la empresa”, en Toso Milo/Lux/Cordero (eds.), Cum-
plimiento normativo y gestión de riesgos legales en la empresa, Tirant lo Blanch,
2020.
MICELI, Marcia; NEAR, Janet; SCHWENK, Charles: “Who blows the whistle and why?”,
Industrial and Labor Relations Review, Vol. 45, N°. 1, octubre de 1991.
MONTANER FERNÁNDEZ, Raquel; Fortuny, Miquel: “La exención de responsabili-
dad penal de las personas jurídicas: regulación jurídico-penal vs. UNE 19601”, La
Ley Penal, N°. 132, mayo-junio de 2018.
MONTIEL, Juan Pablo: “Compliance en tiempos de barbijos: ¿una deformación del
cumplimiento normativo?”, Enfoques Penales (mayo), 2020.
MONTIEL, “Cuestiones teóricas fundamentales del criminal compliance”, en Revista
En Letra, N° 7, 2017.
— “Ley 27.401 y criterios para determinar la idoneidad de los programas de integri-
dad”, en Saccani, Raúl. — DURRIEU, Nicolás. (dir.), Compliance, anticorrupción
y responsabilidad penal empresarial, Thomson Reuters-La Ley, 2018.
— “Sentido y alcance de las investigaciones internas”, en Mir Puig, Santiago. —

Corcoy Bidasolo, Mirentxu. — Gómez Martín, Víctor. (eds.), Responsabili-
dad de la empresa y compliance, B de F, 2014.
NAVAS MONDACA, Iván: “La responsabilidad penal del oficial de cumplimiento”, Po-
lítica Criminal, N° 32, 2021.
NAVAS MONDACA/Jaar: “La responsabilidad penal de las personas jurídicas en la
jurisprudencia chilena”, Política Criminal, N° 26, 2018.
NIETO MARTÍN: La responsabilidad penal de las personas jurídicas: un modelo le-
gislativo.
NIETO MARTÍN: 2013, en Kuhlen/Montiel/Ortiz de Urbina Gimeno (eds.), Com-
pliance y teoría del Derecho penal.
PÉREZ GIL, Julio: “Carga de la prueba y sistema de gestión del compliance”, en Gómez
Colomer, Juan Luis (comp.), Tratado sobre Compliance penal, Tirant lo Blanch,
2019.
PORTALES GONZÁLEZ: “Supervisión, monitoreo y actualización de los programas de
compliance penal”, en Artaza Varela (dir), Compliance penal: Sistemas de preven-
ción de la corrupción, DER, 2019.
RAGUÉS I VALLÉS, Ramón: “Los procedimientos internos de denuncia como medida
de prevención de los delitos de la empresa”, en Silva Sánchez (dir), Criminalidad
de empresa y compliance, Atelier, 2013.
RATHGEBER, Cristhian: Criminal compliance. Kriminalpräventive Organisations—
und Aufsichtspflichten am Beispiel der Wirtschaftskorruption, Nomos, 2012.
REEB, Phillip: Internal investigations. Neue Tendenzen privater Ermittlungen, Dunc-
ker & Humblot, 2012.
REY DUARTE: “Certificación de un modelo de prevención de delitos”, en Artaza Vare-
la (dir), Compliance penal: Sistemas de prevención de la corrupción, DER, 2019.
ROJAS MORÁN, Luciano: “Responsabilidad penal de personas jurídicas. Considera-
ciones generales”, en Artaza Varela (dir), Compliance penal: Sistemas de preven-
ción de la corrupción, DER, 2019.
ROTSCH, Thomas: “Criminal compliance”, InDret, N° 1, 2012.
SAHAN, Oliver: “Investigaciones empresariales internas desde la perspectiva del abo-
gado”, en Kuhlen, Lothar. — Montiel, Juan Pablo. — Ortiz de Urbina Gimeno,
Iñigo. (eds.), Compliance y teoría del derecho penal, Marcial Pons, 2013.
SACCANI, Raúl: “Investigaciones internas: una guía práctica”, en Saccani, Raúl. —
Durrieu, Nicolás.(dirs), Compliance, anticorrupción y responsabilidad penal em-
presaria, Thomson Reuters — La Ley, 2018.
SCHEFOLD, Christian: “ISO 37001 Compliance. Anforderungskatalog und Guidance
für das Unternehmens-CMS zur Bestehungspreväntion”, ZFRC, N° 1, 2017.
SIEBER, Ulrich: “Compliance-Programme im Unternehmenstrafrecht”, en el mismo
et al. (eds.), Festschrift für Klaus Tiedemann, Carl Heymanns Verlag, 2008.
SILVA SÁNCHEZ Jesús: “La eximente de „modelos de prevención de delitos: funda-
mentos y bases para una dogmática”, Bacigalupo et. al. (eds.), Estudios de Derecho
penal. Homenaje a Miguel Bajo, Editorial Universitaria Ramón Areces, 2016.
— “La evolución de la posición de deber del director en la empresa. Una obser-

vación desde la cultura del compliance”, en Falcone, Andrés, et al. (coords.),
Autores detrás del autor, Ad-Hoc, 2018.
TRAUDES, Phillips: Zertifizierung als Maßnahme der (Criminal) Compliance, Nomos,
2017.

Montiel y Riquelme - Introducción Al Criminal Compliance en La Ley 20.393

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Montiel y Riquelme - Introducción Al Criminal Compliance en La Ley 20.393

Cargado por

Copyright:

Formatos disponibles

Capítulo IX

Introducción al criminal compliance

Eduardo Riquelme Portilla

la posibilidad de afectar los bienes individuales de personas físicas, sino

II. COMPLIANCE Y CRIMINAL COMPLIANCE

delitos de corrupción pública y privada y de lavado de activos. Sin embar-

mecanismos están enfocados a los delitos en la empresa (Sieber, 2008, pp.

III. FINALIDAD DEL COMPLIANCE Y DE SUS COMPONENTES

en la praxis penal es absolutamente extraordinario. Como regla, la praxis

un programa de compliance funciona adecuadamente cuando han podido

IV. IMPORTANCIA POLÍTICO-CRIMINAL DEL COMPLIANCE

Argentina). De esta manera, el abandono de la máxima societas delinque-

V. INCIDENCIA DE LOS PROGRAMAS DE CUMPLIMIENTO

relación a la responsabilidad penal de las personas jurídicas. Así lo estable-

En el marco de este precepto legal, un programa de cumplimiento es

de un modelo de prevención adecuado (infra se analizan los criterios de

de organización en compliance únicamente surgen después de cometido

Puntualmente en relación a la responsabilidad penal de los miembros

VI. ELEMENTOS DE UN PROGRAMA DE COMPLIANCE

contener un modelo de prevención para tener por cumplidos los deberes

a) Oficial de cumplimiento o encargado de prevención

b) Supervisión del sistema de prevención de delitos.

que existe y de la importancia de estos fenómenos para el buen funciona-

VII. PRINCIPALES ELEMENTOS DE UN PROGRAMA DE

asociado a lograr el objetivo de impedir la comisión de un delito, por lo

da con la eximente. Naturalmente esta técnica legislativa presenta la gran

2. Elementos mínimos (obligatorios) del modelo de prevención

de la evitación de delitos cometidos por miembros de la organización19. El

necesario a los efectos de dar previsibilidad al funcionamiento de esta área

ría ocupar una posición de gerente o equivalente. También la exigencia

Naturalmente una de las maneras de garantizar esta autonomía es a través

que el oficial de cumplimiento esté al tanto de todas las decisiones im-

3. Establecimiento de un sistema de prevención de delitos

Al margen de esta cuestión, este apartado del art. 4 menciona explícita-

sultor u oficial de cumplimiento se extravíe considerando otros tipos de

Especialmente respecto a los protocolos de prevención de la corrup-

de denuncias internos, es decir, que la propia organización sea titular de

ofrecen una instancia de queja o de propuestas de mejoras en relación a la

implementan con el objetivo de investigar las responsabilidades por los

aquellas en las que las pesquisas empresariales se inician luego de estar en

prevención. Los incentivos a comportarse conforme a los estándares éticos,

4. Supervisión y certificación de un sistema de prevención de delitos

modelo está en funcionamiento y se requiere invertir recursos en el moni-

En realidad, conviene no olvidar que las certificaciones de calidad al

CAVICO, Frank: “Private sector whistleblowing and the employment-at-will doctrine:

— “Sentido y alcance de las investigaciones internas”, en Mir Puig, Santiago. —

— “La evolución de la posición de deber del director en la empresa. Una obser-

También podría gustarte