Chile ha endurecido de forma progresiva su marco regulatorio en materia de responsabilidad penal empresarial. La Ley 20.393, que en 2009 nació como una exigencia para alinearse con estándares internacionales, hoy se convirtió en uno de los pilares del sistema de cumplimiento corporativo en el país. Lo que comenzó como una norma limitada a ciertos delitos específicos evolucionó hacia un modelo de responsabilidad estructural. Con las reformas posteriores, incluida la Ley 21.595, el estándar se elevó de manera significativa.
Hoy, cuando se investiga un hecho ilícito, el Ministerio Público no solo analiza quién lo cometió. Analiza si la empresa contaba con un Modelo de Prevención de Delitos (MPD) adecuado y operativo antes de que ocurriera el hecho.
Tabla de contenido
Antes de la entrada en vigor de la Ley 20.393, si un trabajador cometía un delito como soborno, lavado de activos o financiamiento del terrorismo, la responsabilidad recaía exclusivamente en la persona natural. La empresa podía continuar operando sin mayores consecuencias estructurales.
La Ley 20.393 introdujo un cambio radical: la persona jurídica también puede ser penalmente responsable cuando el delito se comete en su interés o beneficio, y existe una falla en el deber de dirección y supervisión.
En términos simples: Si el delito ocurrió dentro de la empresa, la pregunta es qué falló en su sistema de control. La ley establece una salida clara: la empresa puede eximirse de responsabilidad penal si demuestra que, antes del delito, había implementado un Modelo de Prevención de Delitos efectivo.
Un Modelo de Prevención de Delitos es un sistema interno diseñado para identificar, prevenir y monitorear riesgos penales dentro de la organización. No es un manual estático. Es una estructura viva que combina gestión de riesgos, gobernanza y control interno. Desde una perspectiva práctica, el MPD exige cuatro componentes esenciales.
Implementar un Modelo de Prevención de Delitos bajo la Ley 20.393 exige algo más que definir políticas internas. La empresa debe estructurar un sistema de gestión que permita identificar riesgos penales, diseñar controles, evaluarlos periódicamente y conservar evidencia de su funcionamiento.
El primer paso es identificar dónde podrían generarse riesgos penales dentro de la organización. Este análisis debe realizarse por proceso, área o actividad. Algunos ejemplos típicos son:
La matriz debe incluir, como mínimo:
Este ejercicio permite priorizar los riesgos más críticos bajo la Ley 20.393 y asignar recursos de forma coherente.
En Pirani, los riesgos se registran dentro de los diferentes sistemas, permitiendo:
La visualización dinámica facilita identificar qué riesgos requieren atención prioritaria y documenta la metodología utilizada para su evaluación.
La Ley 20.393 exige que los riesgos identificados estén respaldados por medidas concretas de mitigación. Cada riesgo relevante debe tener controles definidos, que pueden incluir:
Un control debe estar claramente definido: qué hace, quién lo ejecuta y con qué frecuencia se evalúa su funcionamiento.
Pirani permite vincular controles directamente a cada riesgo identificado. En la plataforma es posible:
A través del módulo de evaluaciones, la organización puede calificar periódicamente si los controles están diseñados adecuadamente y si están operando según lo previsto. Con base en estas evaluaciones, el sistema recalcula el riesgo residual. Además, la funcionalidad de juicio de expertos permite justificar ajustes en las calificaciones, dejando trazabilidad del análisis cualitativo realizado.
La Ley 20.393 exige designar a un responsable del Modelo de Prevención de Delitos. Esta persona debe supervisar su implementación y funcionamiento. Entre sus funciones principales se encuentran:
Para que el modelo sea considerado efectivo, esta función debe contar con autonomía y acceso a información relevante.
Pirani centraliza la información de riesgos y controles en un único entorno. Esto permite al Oficial de Cumplimiento:
La plataforma conserva el historial de modificaciones, evaluaciones y ajustes, lo que fortalece la trazabilidad del monitoreo realizado.
La Ley 20.393 exige que el Modelo de Prevención contemple mecanismos adecuados para reportar irregularidades. Este componente es clave porque permite detectar conductas indebidas antes de que escalen a consecuencias penales. El mecanismo de reporte debe:
El diseño específico del canal puede variar según la organización. Algunas empresas implementan plataformas especializadas, otras utilizan herramientas corporativas internas o proveedores externos.
Los eventos, hallazgos o incidentes derivados de denuncias pueden registrarse en Pirani como:
Además, mediante integraciones disponibles (por ejemplo, con herramientas de gestión de tickets como Jira o a través de API), es posible conectar sistemas externos de reporte con la gestión interna de riesgos en Pirani. Esto permite que la información relevante para el modelo quede centralizada, evaluada y vinculada a controles específicos. De esta manera, el canal de denuncias no queda aislado como un mecanismo independiente, sino que alimenta directamente el sistema de gestión de riesgos, fortaleciendo la trazabilidad y la capacidad de demostrar que la organización analiza, evalúa y ajusta su modelo cuando identifica alertas internas.
Tener una matriz de riesgos, controles definidos y un Oficial de Cumplimiento designado es el punto de partida. Pero cuando la autoridad revisa el modelo bajo la Ley 20.393, el análisis va más allá de la estructura formal. La pregunta central es: ¿el modelo estaba funcionando antes del hecho investigado? Para responder a eso, la empresa debe poder acreditar tres elementos esenciales.
La autoridad evaluará si la matriz de riesgos guarda relación con la realidad del negocio. Por ejemplo:
La ausencia de riesgos evidentes puede interpretarse como una identificación deficiente.
La plataforma permite estructurar la matriz por procesos y áreas, documentando fecha de creación, modificaciones y responsables asignados. El historial de cambios permite demostrar que la matriz fue revisada y actualizada periódicamente, lo que evidencia gestión activa y no una construcción puntual.
No basta con diseñar controles. Es necesario acreditar que se revisó su funcionamiento. La autoridad puede solicitar:
Un control que nunca se evalúa pierde valor preventivo.
A través del módulo de evaluaciones, la organización puede programar revisiones periódicas de controles y registrar los resultados. Cada evaluación queda documentada con fecha, responsable y calificación, lo que permite demostrar continuidad en la supervisión. El recálculo automático del riesgo residual muestra cómo la gestión impacta en la exposición real de la empresa.
Un modelo efectivo evoluciona. Cuando se detecta un evento, una brecha o una alerta interna, el sistema debe reaccionar. La autoridad puede revisar:
La falta de ajuste puede interpretarse como pasividad en la supervisión.
El registro histórico de riesgos, controles y evaluaciones permite evidenciar modificaciones. Si un riesgo cambia de nivel o se agrega un nuevo control, la trazabilidad queda documentada en el sistema. Esto permite demostrar que la organización no solo identificó riesgos, sino que los gestionó activamente en el tiempo.
En la práctica, existen fallas recurrentes que pueden afectar la validez del Modelo de Prevención:
El problema no suele ser la ausencia de documentos. El problema suele ser la falta de trazabilidad. Un modelo efectivo es aquel que puede reconstruirse paso a paso ante una revisión externa: cuándo se identificó el riesgo, qué control se definió, cuándo se evaluó, qué resultado arrojó y qué ajuste se realizó.
La Ley 20.393 cambió la forma en que se entiende la responsabilidad penal empresarial en Chile. Hoy, la discusión no gira únicamente en torno al delito cometido, sino alrededor de la estructura preventiva que tenía la empresa antes de que ocurriera. Un Modelo de Prevención de Delitos efectivo no se mide por la cantidad de políticas escritas. Se evalúa por su capacidad de:
Cuando se inicia una investigación, lo que marca la diferencia es la trazabilidad. La empresa debe poder reconstruir la historia de su gestión: cuándo se identificó un riesgo, qué control se implementó, cuándo se evaluó y qué decisiones se tomaron. En ese contexto, la gestión de riesgos se convierte en un componente estructural del cumplimiento penal.
Un modelo administrado en hojas dispersas, sin seguimiento periódico y sin evidencia consolidada, difícilmente puede sostener el estándar que exige la Ley 20.393. En cambio, un sistema organizado, con evaluación continua y registro histórico, permite demostrar que la empresa ejerció su deber de dirección y supervisión. El verdadero valor de un Modelo de Prevención de Delitos está en su funcionamiento diario. La ley no exige perfección absoluta, pero sí organización, coherencia y control.