Checklist de Compliance para PyMEs: 15 puntos que tu empresa debe revisar hoy — Cubillos Lama
Guía

Checklist de Compliance para PyMEs: 15 puntos que tu empresa debe revisar hoy

Checklist actualizado al 10 de julio de 2026 sobre compliance penal, laboral, datos personales, ciberseguridad, consumo, libre competencia, propiedad intelectual y gestión societaria para PyMEs chilenas.

GuíaCompliancePublicado: Actualizado:
CompartirCorreoWhatsAppLinkedIn

Las multas por incumplir la Ley Karin parten en 1 UTM y pueden llegar a 60 UTM por infracción; una fiscalización de la Dirección del Trabajo a una PyME de 80 trabajadores sin capacitación documentada puede cerrar el mes con sanciones superiores a $3.000.000. Esto sin contar la indemnización al trabajador denunciante si el caso escala a tribunales.

Esa es la diferencia entre tener un programa de compliance ordenado y tener "las cosas más o menos al día". El problema es que en una PyME chilena de entre 10 y 200 trabajadores las obligaciones están repartidas: RRHH revisa contratos, marketing maneja la base de datos, finanzas mira tributario, y nadie tiene la foto completa. Cuando llega la fiscalización —del SII, de la Dirección del Trabajo, del SERNAC o de la futura Agencia de Protección de Datos— el dueño descubre que tres áreas que creía cubiertas no lo estaban.

Esta guía es un checklist accionable. Quince puntos, agrupados en cuatro bloques. Cada uno con qué revisar, cómo dejarlo evidenciado y el riesgo concreto de no tenerlo. No reemplaza una auditoría legal, pero permite que un gerente general identifique en una tarde dónde está expuesta su empresa.

Bloque A — Penal y compliance

1. Modelo de Prevención de Delitos (MPD) bajo Ley 20.393 actualizado a Ley 21.595

Qué revisar: existencia de un MPD vigente, con uno o más sujetos responsables formalmente designados, dotados de independencia, facultades, acceso a la administración y recursos adecuados conforme al artículo 4 de la Ley 20.393, mapa de riesgos por área, procedimientos de control y capacitación al personal con registro de asistencia. La Ley 21.595 (delitos económicos, agosto 2023) amplió el catálogo de delitos imputables a la persona jurídica más allá de cohecho, lavado y financiamiento del terrorismo: ahora incluye delitos tributarios, ambientales, contra la libre competencia y de mercado de valores, entre otros.

Cómo evidenciarlo: documento del MPD firmado, acta de designación del Encargado, matriz de riesgos, registros de capacitación y minutas de reuniones del Encargado con la administración al menos semestralmente.

Riesgo si no lo tienes: la falta de un modelo efectivo puede favorecer la configuración de responsabilidad si concurren los demás presupuestos del artículo 3, sin perjuicio de las atenuantes legales que puedan resultar aplicables. Las penas van desde multa (que en delitos económicos llega hasta 40.000 UTM) hasta prohibición de celebrar actos con el Estado y, en casos graves, disolución de la persona jurídica.

2. Canal de denuncias operativo y trazable

Qué revisar: que exista un canal accesible —correo dedicado, formulario web o línea telefónica—, que garantice confidencialidad y prohíba represalias, y que tenga un procedimiento escrito de recepción, investigación y cierre. Es exigible bajo MPD y, en el caso de denuncias por acoso, bajo Ley Karin.

Cómo evidenciarlo: política de canal publicada, bitácora de denuncias recibidas con folio, plazos y resolución.

Riesgo si no lo tienes: pierdes el principal mecanismo de detección temprana. En un proceso penal posterior, la fiscalía argumenta —con razón— que la empresa no podía no saber.

3. Prevención de lavado de activos y financiamiento del terrorismo (LAFT)

Qué revisar: si la actividad cae dentro de los sujetos obligados a reportar a la UAF (inmobiliarias, automotoras, casas de cambio, factoring, notarías, entre otras del art. 3 Ley 19.913), debes tener registro en la UAF, oficial de cumplimiento designado y procedimientos para detectar y reportar operaciones sospechosas cuando corresponda, además de los reportes periódicos que sean exigibles según el sector y las instrucciones de la UAF. Aunque no estés obligado a reportar, la due diligence básica de clientes y proveedores (KYC) es exigible bajo MPD.

Cómo evidenciarlo: inscripción en UAF, manual LAFT, fichas KYC de los principales clientes y proveedores.

Riesgo si no lo tienes: multas de la UAF de hasta 5.000 UF por infracción, más exposición penal de la empresa.

Bloque B — Laboral

4. Contratos de trabajo escritos, vigentes y con anexos al día

Qué revisar: que todos los trabajadores tengan contrato firmado dentro de los 15 días de iniciada la relación (art. 9 Código del Trabajo), con jornada, funciones, lugar de trabajo y remuneración bien descritos. Cada cambio relevante —aumento de sueldo, cambio de cargo, nueva jornada— debe ir en anexo firmado.

Cómo evidenciarlo: carpeta física o digital por trabajador con contrato y anexos firmados, idealmente con respaldo de firma electrónica avanzada.

Riesgo si no lo tienes: en demanda laboral aplica la presunción de veracidad de las afirmaciones del trabajador (art. 9 inciso 4 Código del Trabajo). Sin contrato, se asume lo que el trabajador dice sobre jornada y remuneración. Multa administrativa adicional de la Dirección del Trabajo.

5. Reglamento Interno de Orden, Higiene y Seguridad (RIOHS) actualizado

Qué revisar: el RIOHS es obligatorio para empresas con 10 o más trabajadores (art. 153 Código del Trabajo). Tras la Ley Karin debe incluir el protocolo de prevención, investigación y sanción de acoso laboral, sexual y violencia en el trabajo. Debe estar entregado a cada trabajador y depositado en la Inspección del Trabajo y en la Seremi de Salud.

Cómo evidenciarlo: RIOHS vigente, comprobantes de depósito, acuse de recibo firmado por cada trabajador.

Riesgo si no lo tienes: multa de la Dirección del Trabajo y debilitamiento severo de la defensa en una denuncia por acoso.

6. Cumplimiento Ley Karin (Ley 21.643)

Qué revisar: protocolo de prevención implementado, capacitación documentada a todo el personal, procedimiento de investigación con medidas de resguardo inmediatas, 3 días hábiles para decidir si se investiga internamente o se remiten los antecedentes a la Dirección del Trabajo, y el plazo de 30 días previsto por la normativa para concluir la investigación, y mecanismo de denuncia tanto interno como ante la Dirección del Trabajo.

Cómo evidenciarlo: protocolo escrito, registros de capacitación con firma, bitácora de denuncias y resoluciones.

Riesgo si no lo tienes: multa de la Dirección del Trabajo, agravación de la indemnización en sede laboral y exposición reputacional.

7. Subcontratación y suministro de trabajadores bajo control (Ley 20.123)

Qué revisar: si trabajas con contratistas o EST (Empresas de Servicios Transitorios), debes acreditar mensualmente el pago de remuneraciones y cotizaciones del personal externo (certificado F30-1 de la Dirección del Trabajo). La falta de ejercicio adecuado de los derechos de información y retención puede incidir en que la responsabilidad de la empresa principal sea solidaria en lugar de subsidiaria, conforme a los artículos 183-B a 183-D del Código del Trabajo.

Cómo evidenciarlo: archivo mensual de F30-1 por cada contratista, con retención de pagos si el certificado no se entrega.

Riesgo si no lo tienes: responsabilidad solidaria por deudas laborales y previsionales del contratista. Esto puede multiplicar la exposición varias veces.

8. Jornada, registro de asistencia y descansos

Qué revisar: registro de asistencia operativo (libro, reloj control o sistema electrónico autorizado), control de horas extraordinarias dentro del máximo de 2 por día y con pacto escrito, y adecuación a la jornada ordinaria máxima de 42 horas semanales vigente desde abril de 2026, dentro de la reducción gradual a 40 horas establecida por la Ley 21.561.

Cómo evidenciarlo: registros de asistencia consistentes con las liquidaciones de sueldo y los pactos de horas extraordinarias.

Riesgo si no lo tienes: cobros retroactivos de horas extraordinarias en demandas laborales, multas y problemas con la Dirección del Trabajo. En empresas que migran al sistema electrónico, errores de configuración generan cobros que no debían existir.

Bloque C — Regulatorio y consumo

9. Tratamiento de datos personales bajo Ley 19.628 (y preparación para Ley 21.719)

Qué revisar: política de privacidad publicada, base jurídica documentada conforme a la Ley 19.628 vigente y, separadamente, preparación de las nuevas bases de licitud de la Ley 21.719 que regirán desde el 1 de diciembre de 2026, inventario de bases de datos personales, registro de consentimientos y contratos con encargados del tratamiento (proveedores cloud, plataformas de email marketing, etc.). La Ley 21.719, publicada el 13 de diciembre de 2024, entra en plena vigencia el 1 de diciembre de 2026 e introduce sanciones de hasta 20.000 UTM por infracción gravísima y la obligación de designar un Delegado de Protección de Datos en ciertos casos.

Cómo evidenciarlo: política publicada, inventario de tratamientos (RAT), contratos DPA firmados con proveedores principales.

Riesgo si no lo tienes: bajo la ley vigente la sanción es limitada, pero a partir de diciembre de 2026 la exposición sube de forma sustancial. Empezar ahora es más barato que correr el último semestre.

10. Ciberseguridad básica y notificación de incidentes (Ley 21.459 y Ley 21.663)

Qué revisar: si eres operador de servicios esenciales o calificas como de importancia vital bajo la Ley Marco de Ciberseguridad (Ley 21.663), tienes obligaciones reforzadas con la Agencia Nacional de Ciberseguridad. Para el resto de PyMEs, lo mínimo exigible son medidas técnicas razonables (respaldos, control de accesos, MFA en sistemas críticos) y un procedimiento de respuesta a incidentes. La Ley 21.459 (delitos informáticos) tipifica conductas como acceso ilícito y ataque a la integridad de datos.

Cómo evidenciarlo: política de seguridad de la información, registro de respaldos, matriz de accesos, plan de respuesta a incidentes.

Riesgo si no lo tienes: ante un ransomware o filtración, no solo tienes el daño operativo, sino exposición regulatoria, contractual con clientes y reputacional.

11. Cumplimiento Ley 19.496 (consumidor) en e-commerce y publicidad

Qué revisar: términos y condiciones publicados antes del clic de compra, precios totales con impuestos incluidos, derecho a retracto de 10 días en venta a distancia (art. 3 bis Ley 19.496), mecanismo operativo para ejercer el retracto cuando corresponda, canales accesibles de atención y reclamos, y política de garantía legal de seis meses, conforme a los artículos 20 y 21 de la Ley 19.496.

Cómo evidenciarlo: T&C versionados y aceptados con timestamp, flujo de checkout que muestra el precio final, libro de reclamos accesible.

Riesgo si no lo tienes: SERNAC inicia procedimiento voluntario colectivo o demanda en interés colectivo. Las multas, sumadas a indemnizaciones, escalan rápido en bases de clientes grandes.

12. Libre competencia: contratos con competidores y comportamiento comercial (DL 211)

Qué revisar: que no existan acuerdos con competidores sobre precios, repartición de mercado, licitaciones o restricciones de producción. Esto aplica también a asociaciones gremiales. Si participas en licitaciones, ten un protocolo interno que documente decisiones de precio.

Cómo evidenciarlo: capacitación a equipos comerciales sobre conductas prohibidas, política de libre competencia firmada.

Riesgo si no lo tienes: las multas por colusión llegan al doble del beneficio económico o hasta el 30% de las ventas del producto involucrado (art. 26 DL 211). La colusión es además delito desde la Ley 20.945.

13. Propiedad intelectual: marcas, dominios y software (Ley 19.039 y Ley 17.336)

Qué revisar: marca comercial inscrita en INAPI a nombre de la empresa (no del socio fundador), dominio .cl renovado y a nombre correcto, licencias de software vigentes (especialmente Microsoft, Adobe y suites de diseño), y cesión expresa de derechos de autor en contratos con freelancers y agencias.

Cómo evidenciarlo: certificado de registro de marca, factura de renovación de dominio, inventario de licencias de software, cláusulas de cesión en contratos con proveedores creativos.

Riesgo si no lo tienes: que un tercero registre tu marca o domine; demandas de BSA por software sin licencia; conflictos con ex-freelancers que reclaman derechos sobre material desarrollado para tu empresa.

Bloque D — Operativo y societario

14. Sociedad vigente, poderes al día y libro de actas conciliado

Qué revisar: certificado de vigencia de la sociedad (vigencia, modificaciones, anotaciones marginales), poderes notariales actualizados y conformes con los administradores y representantes vigentes, y libro de actas con acuerdos relevantes firmados. Los acuerdos societarios, aumentos de capital y modificaciones deben documentarse y cumplir las solemnidades que correspondan según el tipo social, los estatutos y el régimen registral utilizado.

Cómo evidenciarlo: certificado de vigencia reciente, copia de poderes, libro de actas físico o electrónico al día.

Riesgo si no lo tienes: un contrato firmado por alguien sin poder vigente es impugnable. En procesos de M&A, due diligence o financiamiento bancario, esto se convierte en bloqueador.

15. Gestión contractual, seguros y registros tributarios

Qué revisar: repositorio único de contratos con vencimientos calendarizados (clientes, proveedores, arriendos, créditos), pólizas de seguro vigentes (responsabilidad civil, D&O si corresponde, cibernético en empresas con tratamiento intensivo de datos), e inscripciones tributarias al día —inicio de actividades, declaración mensual de IVA, declaración anual de renta, registro de DTE.

Cómo evidenciarlo: planilla maestra de contratos con fechas de renovación y término, certificado de las pólizas, certificado de antecedentes tributarios del SII.

Riesgo si no lo tienes: renovaciones automáticas indeseadas, vencimiento sin gestión, pérdida de cobertura ante siniestro, multas y clausuras del SII por incumplimientos formales.

Cómo priorizar

Ninguna PyME resuelve quince frentes en una semana. Si los recursos son limitados, los tres puntos que concentran más exposición real son:

Uno, contratos laborales escritos y RIOHS con protocolo Ley Karin. La probabilidad de una denuncia o demanda laboral es mayor que la de una fiscalización del SII en cualquier mes dado, y la prueba se construye con esos dos documentos.

Dos, MPD básico con canal de denuncias. Aun en su versión mínima, demuestra que la administración hizo lo razonable para prevenir delitos. La diferencia entre tener un MPD imperfecto y no tener nada es enorme en sede penal.

Tres, política de privacidad y mapeo de tratamientos de datos. Con la Ley 21.719 entrando en vigencia plena el 1 de diciembre de 2026, las empresas que llegan sin nada ese mes van a estar en cola detrás de las grandes, sin asesoría disponible y con sanciones que multiplican por 40 las actuales.

Los doce puntos restantes se ordenan en los 60 a 90 días siguientes, asignando responsable interno por cada uno y revisión trimestral. Un esquema de Outside General Counsel mantiene este ciclo activo sin contratar abogado in-house, que para una PyME de este tamaño normalmente no se justifica.


Este contenido tiene fines informativos generales y no constituye asesoría legal para un caso particular. Cada empresa debe evaluar su situación con un abogado de confianza.

¿Tienes consultas sobre tu situación legal?

Conversemos sobre cómo aplica esto a tu empresa.

Contáctanos →

Área relacionada: Compliance

Conoce cómo abordamos este ámbito legal bajo el modelo OGC.

Área relacionada: Compliance