Diligencia Debida en Chile: cómo cumplir con la Ley21.595 y la Circular 62 sin morir en el intento

por | May 19, 2026 | Otros | 0 Comentarios

Desde septiembre de 2024 y junio de 2025, Chile cambió las reglas de la cancha. Hoy, lo que haga un proveedor tuyo puede inhabilitar a tu empresa para contratar con el Estado, gatillar el comiso de sus ganancias o, en el extremo, llevarla a su disolución. Esta guía explica los tres frentes que un Compliance Officer chileno debe tener cubiertos en 2026 — y cómo automatizarlos sin transformar el área en una fábrica de Excels.

La intuición ya no alcanza. Tampoco la confianza en el «buen apellido» del proveedor, el certificado escaneado de hace 18 meses o la declaración jurada firmada al momento de la licitación. En el Chile post Ley 21.595, decidir con quién contratar — sea un proveedor crítico, un socio comercial o un cliente estratégico — es una decisión jurídica con consecuencias penales para la persona jurídica.
Y, sin embargo, la mayoría de las empresas chilenas siguen tratando la diligencia debida como un trámite anual de carpeta y firma.

En una palabra: la debida diligencia dejó de ser una buena práctica del manual de compliance. Es una obligación legal con sanción tipificada — y, en el caso de los sujetos obligados de la UAF, con un plazo de fiscalización ya en marcha.

¿Qué es la diligencia debida y por qué cambió en Chile?

La diligencia debida (due diligence) es el proceso estructurado mediante el cual una empresa identifica, evalúa y monitorea los riesgos legales, financieros, tributarios y reputacionales asociados a un tercero, antes de contratarlo y durante toda la relación.

En Chile, hasta hace poco, era un proceso voluntario asociado al mundo de las fusiones y adquisiciones o de los sujetos obligados de la UAF (bancos, factoring, casas de cambio, casinos, notarios, etc.). En 2026 ya no lo es. Tres normas en vigor la convirtieron en exigencia regulatoria de aplicación amplia:

  • Ley 21.595 de Delitos Económicos, vigente desde el 1° de septiembre de 2024, que amplía el catálogo de delitos económicos a más de 200 tipos penales y extiende la responsabilidad penal de la persona jurídica a lo que hagan sus prestadores de servicios.
  • Circular N°62 de la Unidad de Análisis Financiero (UAF), dictada el 19 de marzo de 2025 y vigente desde el 1° de junio de 2025, que refunde y endurece las obligaciones de Debida Diligencia y Conocimiento del Cliente (DDC) bajo un enfoque basado en riesgo.
  • Ley 21.719 de Protección de Datos Personales, que obliga a tratar con especial cuidado la información personal del proveedor evaluado, su beneficiario final y las personas expuestas políticamente vinculadas.

La combinación de las tres convierte la gestión de terceros en uno de los principales vectores de riesgo penal y regulatorio del 2026.

Los tres pilares de la diligencia debida en Chile

Pilar 1. Circular 62 UAF: la diligencia debida como obligación tipificada

La Circular 62 estableció un nuevo marco común para todos los sujetos obligados del artículo 3° de la Ley 19.913 — banca, factoring, leasing, corretaje, notarios, conservadores, casas de cambio, casinos, administradoras de fondos, plataformas de pago y un largo etcétera. Su columna vertebral es la obligación de aplicar Debida Diligencia y Conocimiento del Cliente (DDC) con enfoque basado en riesgo.

En la práctica, eso significa que cada sujeto obligado debe:

  • Construir y mantener una ficha de cliente actualizada al menos anualmente, con identificación de la persona natural o jurídica, beneficiario final, propósito de la relación y origen de fondos.
  • Revisar de forma periódica y sistemática a clientes y potenciales clientes contra las Listas de Resoluciones del Consejo de Seguridad de la ONU (1267, 1373, 1718, 2253 y sucesivas), y conservar respaldo por al menos tres años.
  • Identificar a las Personas Expuestas Políticamente (PEP) y a sus parientes hasta el segundo grado de consanguinidad, aplicando DDC reforzada.
  • Aplicar medidas reforzadas a operaciones con países o jurisdicciones bajo seguimiento del GAFI o calificadas como de régimen fiscal preferencial por el Servicio de Impuestos Internos.
  • Mantener un Manual de Prevención y Detección actualizado al menos cada dos años, aprobado por la más alta instancia directiva.
  • Reportar operaciones sospechosas (ROS) y operaciones en efectivo sobre USD 10.000 (ROE) en los plazos definidos por la UAF.

El incumplimiento de cualquiera de estas obligaciones se sanciona en el Título II de la Ley 19.913 y se fiscaliza con un enfoque basado en riesgo definido por la propia UAF. La sanción no es teórica: la UAF ha venido aumentando su capacidad de fiscalización y sancionatoria, y la Circular 62 explícitamente faculta a verificar el cumplimiento «en cualquier momento».

Pilar 2. Ley 21.595: la responsabilidad penal se extiende a tus proveedores

Este es, sin duda, el cambio más subestimado por los directorios chilenos. El nuevo artículo 4° de la Ley 20.393, sustituido por la Ley 21.595, define qué se considera un Modelo de Prevención de Delitos efectivamente implementado. Y allí, en el numeral 2, dispone expresamente que la normativa interna
del modelo:

«…deberá ser incorporada expresamente en los respectivos contratos de trabajo y de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de la persona jurídica, incluidos sus máximos ejecutivos.»


La lectura es directa: la obligación de prevenir delitos se traslada, contractual y operativamente, a toda la cadena de prestadores de servicios de la empresa. Y, además, el mismo artículo 4° exige expresamente:

  • Identificación de actividades o procesos que impliquen riesgo de conducta delictiva, incluyendo aquellos riesgos canalizados por terceros.
  • Protocolos y procedimientos para prevenir y detectar conductas delictivas, con canales seguros de denuncia y sanciones internas para el caso de incumplimiento.
  • Asignación de un encargado de prevención de delitos con independencia, recursos y acceso directo a la administración.
  • Evaluaciones periódicas por terceros independientes y mecanismos de perfeccionamiento o ctualización a partir de tales evaluaciones.

Las penas que enfrenta la persona jurídica si el modelo falla son significativamente más duras que bajo la antigua Ley 20.393. El nuevo artículo 8° de la Ley 20.393 las enumera:

  • Extinción de la persona jurídica.
  • Inhabilitación para contratar con el Estado (decisiva para empresas con ingresos por licitaciones públicas, concesiones o contratos con empresas públicas).
  • Pérdida de beneficios fiscales y prohibición de recibirlos.
  • Supervisión de la persona jurídica.
  • Multa, calculada en días-multa con techos significativamente mayores que el régimen anterior.
  • Comiso de las ganancias obtenidas con ocasión del delito.

Y, atención: el artículo 5° de la Ley 20.393 modificada establece la autonomía de la responsabilidad penal de la persona jurídica. Es decir, la empresa puede ser condenada aun cuando no se identifique a la persona natural que cometió el hecho, siempre que conste que el delito no pudo sino haber sido perpetrado por o con la intervención de alguno de los sujetos del artículo 3°. Esto incluye a los prestadores de servicios sometidos al control y dirección de la empresa.

Pilar 3. Riesgos reputacionales y contagio en cadena

Aunque la atención mediática se concentra en las sanciones penales y administrativas, en la práctica el mayor costo de un proveedor mal evaluado es reputacional y comercial:

  • Adverse media. Una noticia que vincula a un proveedor de tu empresa con un delito económico, lavado de activos, financiamiento al terrorismo, soborno, corrupción transnacional o un escándalo laboral aparece en buscadores asociada a tu marca durante años.
  • Exclusión de programas de proveedores. Grandes corporaciones — retail, minería, banca, energía — han endurecido sus requisitos de homologación. Una mancha reputacional en un proveedor crítico puede sacarte de la cartera de un cliente clave.
  • Pérdida de licitaciones. Mercado Público y muchas licitaciones privadas exigen declaraciones de cumplimiento sobre la cadena de suministro y, cada vez más, evidencia.
  • Riesgo de directorio. Los directores enfrentan deberes de cuidado y diligencia bajo la Ley 18.046 de Sociedades Anónimas. La omisión de un proceso razonable de evaluación de terceros puede configurar incumplimiento de tales deberes.

Cómo implementar la diligencia debida en tu organización: las cinco fases


Un proceso integral de diligencia debida no se improvisa. Se diseña con metodología y se ejecuta con tecnología. Estas son las cinco fases que recomendamos en CompliSafe:

1. Planeación y segmentación por nivel de riesgo
Antes de evaluar, segmentar. No todos los proveedores pesan igual. La segmentación se hace combinando criterios como criticidad operacional, exposición a delitos económicos según el catálogo de la Ley 21.595, ubicación geográfica (incluyendo jurisdicciones GAFI y SII), tipo de servicio, acceso a información sensible, y monto contratado. Cada categoría — bajo, medio, alto — gatilla un nivel distinto de DDC.

2. Recopilación documentada y verificable
Se solicita la documentación al tercero a través de cuestionarios estructurados, no de correos sueltos. La información mínima debe contemplar: razón social y RUT, vigencia, estructura de propiedad y beneficiario final, certificaciones (ISO 37001, 37301, 19601 cuando aplique), antecedentes laborales y previsionales, situación tributaria (F22, F29), antecedentes judiciales y societarios. Idealmente, con trazabilidad inmutable de cuándo se entregó cada documento, quién lo cargó y con qué firma.

3. Análisis automatizado y detección de alertas (red flags)
Aquí entra el corazón del proceso: el cruce automatizado contra fuentes de inteligencia. Listas de sanciones internacionales (OFAC, ONU, UE, GAFI), bases PEP y parentesco PEP, registros judiciales y societarios, prensa adversa, registros de incumplimientos laborales y previsionales, y consultas al RUT del tercero. Lo que antes tomaba un equipo de un mes, hoy se ejecuta en segundos con un clic.

4. Informe y toma de decisiones documentada
El proceso debe culminar en un informe trazable, no en una carpeta de PDFs sueltos. El informe documenta los hallazgos, califica el riesgo (inherente, con controles, residual), propone medidas de mitigación y registra la decisión final: aprobar, aprobar con condiciones, rechazar. Esta documentación es la evidencia que la UAF, la CMF, el Ministerio Público o un juez van a pedirte si las cosas se complican.

5. Monitoreo continuo y reevaluación periódica
La diligencia debida no se hace una vez. La Circular 62 obliga a actualizar la ficha al menos anualmente, y en cualquier momento en que existan cambios relevantes. Una certificación válida hoy puede no serlo en seis meses. Un proveedor sin antecedentes hoy puede aparecer mañana en un caso público. Por eso, el sistema debe monitorear en continuo y volver a evaluar con la frecuencia que el nivel de riesgo del tercero exija.

Marco normativo y estándares de referencia


Una implementación robusta se apoya en normativa local y estándares internacionales. En Chile, esto se traduce en:

  • Ley 21.595 y Ley 20.393 modificada — responsabilidad penal de la persona jurídica y Modelo de Prevención de Delitos.
  • Ley 19.913 y Circular 62 UAF -DDC, listas ONU, PEP, ROS, ROE, Manual de Prevención y Detección.
  • Ley 21.719 – Protección de Datos Personales: consentimiento, finalidad y minimización en el tratamiento de los datos del tercero evaluado.
  • Ley 18.046 – Deberes de cuidado y diligencia del directorio.
  • ISO 37301 – Sistemas de gestión de Compliance.
  • ISO 37001 / UNE 19601 – Sistemas de gestión antisoborno y compliance penal, con guía probatoria para el Modelo de Prevención de Delitos.
  • ISO 27001 – Seguridad de la información para custodiar la evidencia generada.

Las empresas más maduras integran estos marcos en una única plataforma con trazabilidad inmutable.
Es la diferencia entre tener una política y tener evidencia de que la política funciona.

De obligación a ventaja competitiva

Bien ejecutada, la diligencia debida deja de ser un costo regulatorio y se convierte en un activo estratégico:

  • Reduce el costo de las decisiones equivocadas. Detectar un riesgo a tiempo antes de firmar es siempre más barato que litigar después.
  • Acelera procesos de licitación y onboarding de clientes. Empresas que cuentan con un sistema robusto pueden responder requerimientos de homologación en horas, no en semanas.
  • Mejora la negociación contractual. Un informe estructurado permite negociar garantías, cláusulas de cumplimiento, ajustes de precio o renunciar a tiempo a un negocio inviable.
  • Blinda al directorio. La evidencia documentada del proceso es la mejor defensa frente a una imputación de incumplimiento de deberes de diligencia.
  • Construye reputación. Los clientes corporativos sofisticados premian a los proveedores que pueden demostrar control sobre su propia cadena.

Cómo lo hacemos en CompliSafe

CompliSafe es la plataforma de compliance que automatiza la diligencia debida bajo el marco chileno. Operamos en alianza tecnológica con iCloudCompliance (España), una plataforma certificada bajo ISO 37301, UNE 19601, ISO 37001 y ENS, con presencia en más de 30 países y más de 180.000 usuarios. En Chile, la adaptamos a la Ley 21.595, la Circular 62 de la UAF y la Ley 21.719.

El módulo de Diligencia Debida permite:

  • Crear, personalizar y asignar cuestionarios de evaluación a empleados, proveedores o socios, con frecuencias automáticas y fechas de caducidad.
  • Puntuar respuestas, solicitar documentación adjunta y establecer fechas de validez y vencimiento.
  • Ejecutar KYC/PBC con un clic a partir del RUT del tercero, accediendo a antecedentes judiciales, civiles, laborales, exposiciones políticas, sanciones internacionales y noticias adversas.
  • Hacer seguimiento completo del proceso: quién respondió, cuándo, con qué puntuación, qué documentos faltan, y generar gráficos de evolución de resultados.
  • Exportar el expediente completo en Word, Excel o PDF, listo para auditoría interna, externa, fiscalización UAF o presentación al directorio.
  • Integrarse con el resto del sistema de compliance, matrices de riesgo, canal de denuncias, gestión de políticas, controles transversales, bajo trazabilidad blockchain. Una decisión que ya no es opcional

La pregunta para los directorios chilenos en 2026 no es si implementar un proceso robusto de diligencia debida. La pregunta es si esa implementación va a llegar antes o después de la primera fiscalización, la primera multa o el primer caso público.

Si quieres ver cómo CompliSafe automatiza los tres pilares, Circular 62, Ley 21.595 y riesgo reputacional, en una sola plataforma, agenda una demo de 20 minutos con nuestro equipo. Sin compromiso, con un diagnóstico inicial gratuito del nivel de exposición de tu cartera actual de proveedores.

agenda-demo-complisafe

Solicita tu diagnóstico gratuito en complisafe.cl/demo

Fuentes y referencias normativas

  • Ley N°21.595 de Delitos Económicos (Diario Oficial, 17 de agosto de 2023; vigente desde el 1° de septiembre de 2024).
  • Ley N°20.393 sobre responsabilidad penal de las personas jurídicas, sustancialmente modificada por la Ley 21.595.
  • Circular N°62 de la Unidad de Análisis Financiero (UAF), 19 de marzo de 2025; vigencia 1° de junio de 2025.
  • Ley N°19.913 que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos.
  • Ley N°21.719 de Protección de Datos Personales.
  • ISO 37301, ISO 37001, UNE 19601, ISO 27001.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *