María Paz León – Abogada y miembro de la Asociación Chilena de Ética y Compliance (ACEC)*
La Operación Tokio dejó una imagen que debería incomodar a cualquier directorio, no solo del sector financiero: un profesional con seis años de trayectoria en una empresa de primer nivel, con perfil LinkedIn impecable, viviendo una vida paralela como facilitador de una red de lavado de activos vinculada al crimen organizado transnacional. La red movió más de $75 mil millones entre 2022 y 2025, y los movimientos de esa gran cantidad de dinero no generaron alertas del sistema preventivo oficial.
El debate público se instaló rápidamente en dos lugares predecibles: los organismos reguladores y sus protocolos de alerta, y si la institución afectada reportó o no operaciones sospechosas. Ambas preguntas son legítimas. Pero hay una tercera que nadie está haciendo con la misma energía, y es la que más debería importarle a cualquier organización que gestiona riesgo interno: ¿qué debería saber una empresa sobre las personas que trabajan para ella, y cómo debería saberlo?
La respuesta honesta es que el sistema actual no está diseñado para responder esa pregunta. Y eso no es un accidente: es una decisión, implícita y cómoda, que el mundo corporativo lleva años postergando.
El problema de la declaración voluntaria
El estándar dominante para gestionar el riesgo de personas internas es la declaración anual de conflictos de interés. El empleado firma un formulario —en papel o a través de alguna herramienta de gestión de compliance— declara lo que quiere declarar, la empresa archiva el registro, y todos duermen tranquilos.
Es difícil imaginar un control más ingenuo frente a la amenaza que representa el crimen organizado.
El ejecutivo detenido en la Operación Tokio habría operado cuentas en múltiples entidades usando su posición como cobertura social, no como palanca técnica. Nadie con esa agenda va a declarar voluntariamente que administra ocho cuentas bancarias en cinco instituciones distintas, que recibe transferencias periódicas de terceros sin relación con su salario, o que una parte de sus ingresos proviene de fuentes que no puede explicar. La declaración anual no captura nada de eso, porque está diseñada para capturar lo que el empleado decide revelar. Y quien tiene algo que ocultar, no revela nada.
Este no es un problema de mala fe individual. Es un problema de arquitectura de control. La empresa delega en el empleado la responsabilidad de autodenunciarse, y llama a eso due diligence.
Lo que el crimen organizado ya entendió
El modelo de penetración de una organización criminal en una empresa no requiere corromper su directorio ni vulnerar sus sistemas tecnológicos. Le basta con tener adentro a alguien que conozca cómo funciona la organización desde dentro. Esa persona conoce los circuitos de aprobación, las debilidades de los controles internos, los umbrales que activan una revisión, y los espacios en que el dinero o la información puede circular sin levantar alertas. Su valor no es técnico: es su conocimiento íntimo de la arquitectura interna de la institución.
El crimen organizado, en este sentido, ya hizo su propia due diligence. Identificó al candidato correcto, evaluó su utilidad, y lo incorporó a su estructura. La empresa, mientras tanto, seguía archivando sus declaraciones anuales.
Una hoja de ruta posible
La respuesta no es la vigilancia masiva de colaboradores ni la construcción de un panóptico corporativo. Eso sería desproporcionado, contrario a los derechos laborales y probablemente ineficaz. La respuesta es inteligencia de datos aplicada a gestión de riesgo interno, con tres componentes concretos. Y el marco regulatorio chileno vigente no solo lo permite: en varios aspectos, ya lo exige.
El primero es el monitoreo transaccional cruzado. Las instituciones financieras tienen acceso a información que ningún otro empleador posee: el comportamiento financiero de sus propios trabajadores dentro del sistema bancario. Un empleado con múltiples cuentas activas en instituciones competidoras, con flujos de entrada que no corresponden a su nivel salarial, y con movimientos frecuentes hacia cuentas de terceros sin justificación aparente, es un perfil que puede y debe generar una alerta interna. La Ley 21.719, que entra en plena vigencia en diciembre de 2026, habilita este tratamiento de datos bajo la base del interés legítimo del empleador, siempre que se realice una Evaluación de Impacto en Protección de Datos debidamente documentada y proporcional al riesgo identificado. Para empresas no financieras, el equivalente es el monitoreo de patrones anómalos en sistemas corporativos: proveedores que se repiten fuera del proceso formal, pagos fraccionados que evitan umbrales de aprobación, o flujos de caja que no cierran con la operación declarada. Esto no es intromisión en la vida privada: es el ejercicio legítimo de controles sobre información que la organización ya produce.
El segundo es el análisis de comportamiento en el puesto. Cambios abruptos en el estilo de vida, patrones de gasto inconsistentes con el nivel de ingresos declarado, ausentismos no justificados, o accesos a sistemas internos fuera de los horarios y funciones habituales son señales que los equipos de recursos humanos y cumplimiento pueden monitorear de forma sistemática. El Código del Trabajo reconoce expresamente el poder de vigilancia del empleador sobre sus colaboradores: la condición es que los medios utilizados sean informados, proporcionales y estén incorporados en el contrato de trabajo. La propia Ley 20.393, que regula la responsabilidad penal de las personas jurídicas, ya obliga a incorporar los protocolos y procedimientos del modelo de prevención de delitos en los contratos de todos los trabajadores, incluidos los máximos ejecutivos. Quien firma ese contrato sabe, desde el primer día, que la empresa ejerce controles activos sobre conductas de riesgo. No hay sorpresa. Hay accountability.
El tercero es la revisión periódica de antecedentes y vínculos. La due diligence de un colaborador no debería terminar el día de su contratación. En sectores de alto riesgo —y toda organización con acceso a flujos de dinero, información sensible o decisiones de contratación lo es en alguna medida— la revisión periódica de antecedentes, vínculos societarios y exposición política o criminal debería ser parte del ciclo normal de gestión de personas, levantando red flags frente a cambios no registrados internamente, no un evento excepcional desencadenado por una investigación penal o por un proceso rutinario anual.
Lo que está en juego
Si el crimen organizado ya permeó las instituciones y eso forma parte de su modo de operar habitual —y la evidencia disponible sugiere que lo es— entonces el problema no es de compliance reactivo. Es de inteligencia preventiva.
Las declaraciones de tolerancia cero son necesarias. Pero son insuficientes. Una política de tolerancia cero que depende de que el infractor se autodenuncie es, en rigor, una política de tolerancia condicional a la honestidad del infractor.
Lo que la Operación Tokio debería provocar en los directorios y gerencias de cualquier organización no es una revisión de los protocolos de reporte a las autoridades. Debería provocar una pregunta más incómoda: ¿cuántos colaboradores hay en nuestra organización cuyo perfil real —financiero, relacional, conductual— no conocemos, y qué vamos a hacer al respecto antes de que lo descubra la autoridad?
Esa pregunta no tiene una respuesta cómoda. Pero es la que más importa.
*Abogada en Compliance
Socia fundadora de Ethics Hub SpA
Miembro de la ACEC
