Hablar de Compliance puede sonar, todavía hoy, a jerga importada: moda jurídica nacida en despachos extranjeros y replicada en nuestras salas de directorio. Pero desde la sanción en 2017 de la Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas y con el impulso de las guías de integridad promovidas por la Oficina Anticorrupción, el cumplimiento normativo dejó de ser una opción: las empresas deben saber qué hacen, cómo lo hacen y tratar de explicarlo sin titubear frente a una fiscalía.

El fenómeno de Compliance fue ganando terreno progresivamente, primero en el rubro financiero, más tarde en el societario, para aterrizar finalmente en los negocios digitales, planteando el imperativo de políticas robustas que anticipen riesgos, protejan datos personales y aseguren estándares de integridad en organizaciones insertas en entornos digitales.

El cumplimiento digital involucra múltiples dimensiones. En primer lugar, la protección de datos personales, que en consonancia con leyes como la pionera argentina 25.326 o el GDPR europeo, obligan a consentimientos informados, licitud en el tratamiento y derechos ARCO (acceso, rectificación, cancelación, oposición). Traducidas a la práctica, estas normas piden contar con políticas de privacidad (una especie de promesa del proveedor digital hacia sus usuarios sobre la gestión de datos), avisos transparentes y canales eficaces de respuestas a consultas.

Un segundo elemento central son las prácticas de Ciberseguridad orientadas a proteger sistemas frente a eventos (malware, phishing, ransomware) y a asegurar la continuidad operativa. Las empresas suelen adoptar estándares de seguridad de la información (como la norma ISO 27001), cifrar datos sensibles, generar back ups y capacitar de forma permanente a su personal.

La gestión de riesgos tecnológicos obliga a identificar y mitigar aquellos asociados a nuevas herramientas mediante auditorías regulares de seguridad. El carácter transversal de las políticas de cumplimiento digital impacta en el gobierno corporativo: requiere liderazgo ejecutivo, roles definidos y conciencia de cumplimiento en todos los niveles, con involucramiento de la alta gerencia si se tiene en cuenta que la ejemplaridad no se discute ante cuestiones con raíz decididamente cultural.

Volvamos: no hace falta ser una empresa tecnológica para estar en el radar de los reguladores. Aun si una pyme no es una empresa “nativa tecnológica” ni una fintech, la digitalización de negocios asume un carácter prácticamente universal. Facturar con tickets digitales, recolectar bases de clientes en la nube o aceptar pagos electrónicos son parte del día a día de una organización que la expone a riesgos digitales. Y si aún hay dudas, los ejemplos resultan autoexplicativos.

En 2021, Amazon fue sancionada por Luxemburgo con 746 millones de euros por violar principios del GDPR. En 2023, Meta fue multado con 1.200 millones por transferencias indebidas de datos de usuarios. En Argentina, en 2025, decenas de cuentas de usuarios de Ualá fueron vaciadas durante un fin de semana. ¿El problema? Claves filtradas, fallas de verificación, y una comunicación oficial tardía que dejó interrogantes abiertos. En el ámbito de las instituciones de salud, un proveedor local sufrió la filtración de medio millón de estudios médicos, revelando cuán expuestos están incluso quienes no perciben a su negocio como digital. En el sistema bancario, la Agencia de Acceso a la Información Pública multó a una entidad financiera por no permitir a un cliente el acceso a sus datos personales.

Vemos también ejemplos de buenas prácticas. Mercado Pago, Brubank y otros proveedores de servicios de pagos (PSP) locales han estructurado áreas de Compliance que incluyen IT, legal y auditoría, con protocolos claros ante eventos de ciberseguridad. Multinacionales como Globant decidieron operar bajo ISO 27001 e ISO 37301, y otras fintech argentinas han incorporado prácticas proactivas de ciberseguridad: cifrado por defecto, monitoreo 24/7, entrenamiento a empleados en temas de ingeniería social (sí, abrir ese archivo adjunto puede costar carísimo).

Las políticas de Compliance en el ámbito digital, lejos de ser un gasto, son una inversión. Proteger la seguridad y la información personal equivale a proteger marcas, equipos y decisiones.

Más allá de las multas, se pone en juego la confianza. En la era del big data, el mayor activo de una empresa no es su software, sino la reputación por la que entra —o queda afuera— del próximo negocio.

(*) Abogado LLM (Master of Laws), Director de Carrera UCC.