Compliance y responsabilidad penal de la empresa: qué exige la ley chilena hoy

El marco legal de responsabilidad penal empresarial en Chile experimentó transformación histórica con entrada en vigencia de la Ley 21.595 (Ley de Delitos Económicos) el 1 de septiembre de 2024, que reformó radicalmente la Ley 20.393 sobre Responsabilidad Penal de Personas Jurídicas. La ley ahora impone responsabilidad penal a empresas privadas, públicas, universidades, partidos políticos y entidades religiosas por comisión de delitos económicos, laborales, ambientales e imprudencia culposa que causen muertes o lesiones—incluso sin que delito beneficie económicamente empresa. Para evitar responsabilidad, empresas DEBEN implementar “Modelo de Prevención de Delitos” (MPD) efectivo. Incumplimiento resulta en penas de 2-400 días-multa (aproximadamente $630K a $126 mil millones), extinción de persona jurídica, inhabilitación para contratar con Estado, o supervisión judicial de la empresa. El régimen actual es más exigente que antes, obligando compliance a ser función estratégica no delegable, integrada en procesos core empresa desde gobiernanza hasta operaciones. Para profesionales de compliance, abogados laboralistas, ejecutivos y RRHH, esta ley define nuevas obligaciones críticas vigentes hoy.​

1. Ley 21.595 (Ley de Delitos Económicos): Cambio de Paradigma

Entrada en Vigencia y Alcance

Ley 21.595, publicada 17 agosto 2023, entró en vigencia 1 septiembre 2024. Modificó integralmente Ley 20.393 (responsabilidad penal empresas) y amplió catálogo de delitos económicos. Cambio es de naturaleza paradigmática: antes, Ley 20.393 era especializada en delitos económicos; ahora se integran delitos laborales, ambientales, imprudencia culposa (muertes/lesiones)—creando responsabilidad penal para “cualquier delito cometido en contexto empresa”.​

Ampliación del Catálogo de Delitos

Empresa ahora responde penalmente por comisión de:​

Categoría de Delitos	Ejemplos
Delitos Económicos (Ley 21.595)	Fraude, corrupción, evasión tributaria, lavado de dinero, financiamiento del terrorismo, manipulación de mercado
Delitos Laborales	Incumplimiento obligaciones seguridad e higiene, acoso laboral (Ley Karin), discriminación
Delitos Ambientales	Contaminación, destrucción ecosistema, operación sin permiso ambiental
Imprudencia Culposa	Muerte o lesiones causadas por negligencia/imprudencia (artículos 490, 492 Código Penal)
Delitos contra Persona	Cohecho, tráfico de influencias, fraude a administración pública

Aspecto crítico: empresa responde incluso si delito no beneficia económicamente empresa. Antes, Ley 20.393 requería que delito se cometa “en interés o provecho empresa”; ahora basta que se cometa “en marco actividad empresa” con falta de MPD.​

Ampliación de Sujetos Responsables

Ley 21.595 expande quiénes pueden ser responsables penalmente:​

• Personas jurídicas de derecho privado (ya incluidas antes)
• Empresas públicas creadas por ley (NUEVA)
• Empresas, sociedades, universidades del Estado (NUEVA)
• Partidos políticos (NUEVA)
• Personas jurídicas religiosas de derecho público (NUEVA)

Esto significa: organismo público, universidad estatal, partido político, ONG religiosa—todos pueden responder penalmente si fallan en compliance.​

2. Modelo de Prevención de Delitos (MPD): Requisitos Operacionales

Qué es un MPD Efectivo y Por Qué Es Obligatorio

El corazón de la responsabilidad empresarial es la exigencia de “Modelo de Prevención de Delitos” efectivo. MPD NO es “documento elegante” sino sistema operacional integrado que demuestra empresa tomó medidas razonables para prevenir delitos. Sin MPD efectivo, empresa es responsable penalmente incluso si delito fue cometido por empleado que actuó contraria a normas empresa.​

Requisitos Específicos del MPD (Post-Ley 21.595)

Ley 21.595 establece criterios concretos para MPD “adecuado” en artículos 3-4 modificados:​

Requisito	Detalles	Obligatoriedad
1. Identificación de Riesgos	Análisis documentado de procesos/actividades que impliquen riesgo de conducta delictiva	OBLIGATORIO
2. Protocolos Prevención	Procedimientos escritos para prevenir delitos (ej: manual anti-corrupción, protocolo acoso laboral)	OBLIGATORIO
3. Responsable Designado	Uno o más responsables dedicados con autoridad para implementar/monitorear MPD	OBLIGATORIO
4. Capacitación	Entrenamiento periódico (anual mínimo) a personal en áreas de riesgo	OBLIGATORIO
5. Auditoría Independiente	Evaluación ANUAL por terceros independientes (auditores externos, no internos)	OBLIGATORIO
6. Canales Denuncia	Mecanismo formal, confidencial para que empleados denuncien posibles delitos SIN represalias	OBLIGATORIO
7. Investigación Denuncias	Procedimiento documentado para investigar denuncias de forma confidencial	OBLIGATORIO
8. Sanciones Disciplinarias	Consecuencias clara para incumplimiento (despido, multa, etc.)	OBLIGATORIO
9. Seguimiento Correctivo	Monitoreo de implementación MPD y ajustes basados en hallazgos auditoría	OBLIGATORIO

Novedad crítica: Ley 21.595 elevó estándares respecto a ley anterior. Auditoría independiente anual es ahora no negociable—no puedes solo auditar internamente.​

Giro Específico de la Empresa

MPD debe ser proporcional al giro y riesgo empresa:​

• Banco: MPD robusto en lavado dinero, fraude, corrupción
• Minería: MPD fuerte en seguridad/higiene ocupacional, imprudencia culposa
• Retail: MPD en fraude, discriminación, acoso laboral
• Universidad: MPD en corrupción en admisión, fraude académico, acoso

No existe MPD “genérico”; debe ser diseñado específico a riesgos reales empresa.​

3. Penas y Sanciones: Multas, Extinción, Inhabilitación

Sistema de Días-Multa para Personas Jurídicas

Ley 21.595 introduce sistema innovador de “días-multa” para empresas:​

• Rango mínimo: 2 días-multa (~$630,000)
• Rango máximo: 400 días-multa (~$126 mil millones)
• Si múltiples delitos cometidos: máximo 600 días-multa acumulado​

El “día-multa” para empresa = valor UTM (Unidad Tributaria Mensual) ajustado según ingresos empresa, con tope:

• Mínimo: 5 UTM por día (aproximadamente $333K a enero 2026)
• Máximo: 5,000 UTM por día (aproximadamente $333 millones a enero 2026)​

Ejemplo de cálculo:
Empresa mediana con ingresos $1,000M anuales condenada por evasión tributaria (pena base: 5-10 años presidio → 100-150 días-multa). Si tribunal fija 100 días-multa con valor $500 UTM/día = 100 × $33,314 × 500 = $1.665 mil millones en multa.​

Otras Penas Aplicables

Además de multa, juez puede imponer:​

1. Extinción de Persona Jurídica (clausura definitiva empresa): Sanción máxima, aplicable en casos graves
2. Inhabilitación para Contratar con Estado: Empresa no puede ser proveedora del Estado por plazo 1-10 años
3. Comiso de Ganancias: Confiscación de ganancias derivadas del delito
4. Supervisión Judicial: Tribunal designa supervisor externo que reporta periódicamente sobre gestión empresa
5. Publicación de Sentencia: Sentencia se publica en periódico de circulación nacional (daño reputacional severo)
6. Pérdida de Beneficios Fiscales: Pérdida de créditos tributarios, incentivos, etc.​

Combinación de sanciones es típica: no es “solo multa” sino acumulación que puede destruir viabilidad empresa.​

4. Responsabilidad Independiente de Persona Jurídica vs Persona Natural

Principio de Autonomía de Responsabilidad

Aspecto fundamental de Ley 21.595: responsabilidad penal empresa es INDEPENDIENTE de responsabilidad penal empleado:​

• Si ejecutivo comete fraude, ejecutivo es condenado penalmente (privación libertad, multa personal)
• Y ADEMÁS empresa es condenada penalmente (multa colectiva, inhabilitación, etc.)
• No importa si ejecutivo fue “destituido inmediatamente” o si empresa alegó “era acción no autorizada”​

Este principio de autonomía es crítico: empresa no puede escudarse diciendo “error empleado, no nuestro”.​

Única defensa es: “Empresa tenía MPD efectivo, empleado lo violó conscientemente, empresa investigó y sancionó”.​

5. Ciberseguridad y Datos Personales: Nuevas Obligaciones 2025-2026

Complementario a responsabilidad penal, nuevas leyes de ciberseguridad crean obligaciones compliance adicionalesvigor enero 2025:​

Ley 21.663 (Ciberseguridad)

• Implementación obligatoria de Sistema de Gestión de Seguridad de la Información (SGSI)
• Reporte obligatorio de incidentes cibernéticos ante Agencia Nacional de Ciberseguridad (ANCI) en plazo máximo
• Fiscalización por ANCI desde marzo 2025; multas aplicables​
• Sectores prioritarios (retail, fintech, banca, salud) enfrentan exigencias máximas​

Ley 21.719 (Protección de Datos Personales)

• Derechos aumentados para individuos (derecho acceso, rectificación, eliminación)
• Obligación empresa de hacer “privacy by design” en sistemas
• Notificación obligatoria de brechas de datos en plazo 10 días hábiles​

Estas leyes complementan compliance penal: empresa que comete fraude de datos enfrentará responsabilidad ciberseguridad + responsabilidad penal simultáneamente.​

6. Compliance Laboral: Ley Karin Integrada

Ley Karin (acoso laboral, vigente agosto 2024, analizada previamente) se integra ahora en compliance corporativo como riesgo penal:​

• Empresa sin protocolo acoso laboral = vulnerabilidad compliance
• Acoso laboral que resulta en muerte (suicidio) = delito imprudencia culposa → responsabilidad penal empresa
• MPD debe incluir específicamente prevención acoso, capacitación, canales denuncia​

Unificación: antes compliance era “tributario/ambiental/laboral por separado”; ahora es holístico: una empresa con deficiencias en acoso laboral enfrenta riesgo penal igual que con fraude tributario.​

7. Carga de la Prueba: Empresa Debe Demostrar Eficacia MPD

Cambio de Carga Probatoria

Ley 21.595 invierte carga de prueba sutilmente:​

• Fiscal demuestra: (1) delito fue cometido, (2) fue cometido por persona asociada empresa, (3) perpetración fue “favorecida o facilitada por falta de MPD efectivo”
• Empresa debe demostrar: MPD era efectivo, auditoría anual verificó cumplimiento, investigó delito rápidamente

Implicación: empresa no puede simplemente negar MPD (“ah, no teníamos documento”); debe probar con evidencia documentada que sistema existía y funcionaba.​

8. Obligaciones para 2026: Transición e Implementación

Estado Actual (Enero 2026)

Ley 21.595 está en vigencia plena desde septiembre 2024 (16 meses). Sin embargo:​

• Grandes empresas (>500 empleados): ya deberían tener MPD robusto; auditoría independiente ya implementada
• Medianas empresas (100-500): muchas aún en proceso de implementación; riesgo exposición elevado
• Pequeñas empresas: mayoría sin MPD estructurado; vulnerabilidad criminal creciente​

Tendencias 2026:​

1. Fiscalización Intensificada: Ministerio Público iniciará casos más selectivos contra empresas medianas por falta de MPD
2. Exigencia Pública: organismos públicos y municipalidades exigirán “certificado compliance” a proveedores antes de contratar
3. Auditorías Cruzadas: auditores independientes más rigurosos; menos tolerancia a “documentos sin implementación real”
4. Integración Datos: fiscalización usará big data para detectar “empresas sin compliance visible”​

9. Implicaciones para Diferentes Actores

Para CEO/Directorio:

• ⚠ Responsabilidad personal: No pueden ignorar compliance; directores que ignoran riesgos enfrentan responsabilidad civil por daños a accionistas
• ⚠ Obligación de reportar: Directorio debe tener comité de compliance con reportes trimestrales
• ✓ Defensa legal: empresa que implementa MPD robusto tiene defensa en juicio (tribunal considerará “empresa hizo esfuerzo razonable”)

Para Oficial Compliance/Jefe Cumplimiento:

• ✓ Posición crítica: función ahora es no delegable, requiere autoridad sénior (reporta directo a CEO o Directorio)
• ✓ Recursos aumentados: presupuesto compliance debe aumentar 20-30% post-Ley 21.595
• ⚠ Responsabilidad penal personal: oficial compliance que no reporta delitos descubiertos puede ser condenado por “encubrimiento” (en ciertos casos)

Para RRHH:

• ✓ Capacitación obligatoria: debe capacitar anualmente en prevención delitos
• ✓ Canales denuncia: responsable de gestionar denuncias anónimas, investigar
• ⚠ Investigación confidencial: no puedo revelar identidad denunciante sin riesgo legal para empresa (represalia)

Para Abogados Laboralistas/Penalistas:

• ✓ Demanda creciente: empresas necesitan asesoría específica en MPD post-21.595
• ✓ Especialización urgente: abogados que dominen Ley 21.595 + Ley Karin + ciberseguridad son escasos
• ✓ Ingresos robustos: asesoría compliance es mercado de premium pricing

Para Empleados:

• ✓ Protecciones aumentadas: canales denuncia anónimos, no represalias, investigaciones confidenciales
• ⚠ Mayor exigencia: empresa puede “investigarte” si denuncias a colegas (pero confidencialmente)

10. Recomendaciones Operacionales para 2026

Para Empresas Sin MPD o Con MPD Débil:

1. Auditoria Diagnóstica Inmediata (mes 1): contratar auditores independientes para evaluar brecha vs Ley 21.595
2. Diseño MPD Específico (mes 2-3): documentar procesos de riesgo, protocolos, responsables
3. Implementación Piloto (mes 4-6): comenzar con área de mayor riesgo; generar evidencia de que funciona
4. Capacitación Masiva (mes 6-12): entrenar personal en roles críticos; documentar asistencia
5. Auditoría Independiente Anual (month 12): tercero independiente verifica cumplimiento​

Para Cumplimiento con Requisitos Mínimos:

1. Fortalecer Canales Denuncia: asegurar que son realmente anónimos (software dedicado, no email corporate)
2. Auditoría Anual Rigurosa: no buscar auditores que “confirmen lo que quiero”; buscar críticos independientes
3. Capacitación Actualizada: no es “video de 30 minutos anual”; requiere capacitación contextual por rol
4. Seguimiento Post-Auditoría: auditoría identifica hallazgos; empresa DEBE actuar sobre recomendaciones o riesgo aumenta

Compliance y responsabilidad penal empresarial en Chile 2025-2026 es landscape radicalmente más exigente que hace 18 meses (pre-Ley 21.595). Ley no es “opcional” ni “recomendable”—es obligatoria, con penas severas (multas $126 mil millones, extinción empresa, inhabilitación contractual) por incumplimiento.

Para empresas, compliance es ahora función estratégica integrada, no departamento aislado. Para ejecutivos y directores, exposición personal es real si ignoran riesgos. Para profesionales (abogados, auditores, oficiales compliance), demanda de especialistas es máxima y proyectada crecer 30-50% en 2026.

El cambio es cultural: Chile transita hacia compliance by design (prevención embebida en procesos) versus compliance by documents (carpetas llenas de políticas sin implementación real). Organizaciones que logren esta transición en 2026 enfrentarán mercado competitivo con ventaja defensiva; quienes ignoren regulación enfrentarán riesgo penal creciente.