En materia de compliance hay una tentación comprensible. Si ocurre un hecho de alta gravedad, como el que estremeció a la Región del Biobío en altamar, tendemos a pensar que el modelo de prevención simplemente no servía. La intuición es humana. El problema es que, jurídicamente y también desde una perspectiva de buena gobernanza, esa conclusión no debe ser automática.

La reciente resolución de la Corte de Apelaciones de Concepción en el caso Bruma vuelve a poner esta discusión sobre la mesa. Sin entrar al análisis jurídico, que no es mi especialidad, lo relevante es que la Corte confirmó las cautelares personales respecto de los imputados formalizados, pero rechazó imponer a la empresa la medida cautelar de supervisión judicial contemplada en la Ley 20.393. En lo sustancial, vino a decir algo importante. En esta etapa no bastaba con invocar la ocurrencia del hecho ni afirmar, en abstracto, que el modelo de prevención era ineficaz. Lo que debía acreditarse era algo más exigente, esto es, la inexistencia o la grave insuficiencia del sistema de prevención. Y, según la Corte, eso no fue explicitado ni demostrado con la precisión necesaria.

El punto es importante porque evita dos errores frecuentes. El primero consiste en pensar que un modelo de prevención vale solo si garantiza un resultado perfecto. No es así. Ningún sistema serio promete riesgo cero. Nunca fue ese el estándar. Ni la Ley 20.393, ni su modificación por la Ley 21.595, ni los marcos internacionales que inspiran estas discusiones fueron concebidos para exigir empresas infalibles. Fueron pensados para algo mucho más realista y mucho más útil, como es que las organizaciones identifiquen sus riesgos, asignen responsabilidades, establezcan controles razonables, monitoreen su funcionamiento y mejoren cuando detectan brechas.

Eso, en el fondo, es gestión de riesgos empresariales. No consiste en eliminar toda posibilidad de falla, pues eso no existe en el mundo real. Consiste en conocer los riesgos relevantes, priorizarlos, prevenirlos razonablemente y reaccionar a tiempo cuando se materializan. Por eso, confundir la ocurrencia de un hecho grave con la prueba automática del fracaso total del modelo no solo es simplista, sino que es desconocer cómo funciona cualquier sistema serio de gestión.

La ISO 37302:2025 fue concebida precisamente como una guía para evaluar la efectividad de un sistema de compliance y no su mera existencia formal. Algo parecido viene sosteniendo hace años el Departamento de Justicia de Estados Unidos cuando insiste en que no basta preguntarse si una empresa tiene un programa, sino si está bien diseñado, si se aplica de buena fe y si realmente funciona en la práctica.

Eso obliga a elevar la conversación. Un modelo de prevención no puede evaluarse como checklist, pero tampoco puede descartarse solo porque ocurrió un accidente. Lo serio es preguntarse si identificó riesgos relevantes y si se gestionaron adecuadamente.

Lo anterior no exculpa a nadie. Tampoco minimiza la gravedad de los hechos. Lo que hace es recordar algo esencial. El juicio sobre la responsabilidad de una persona jurídica no puede descansar en consignas, sino en evidencia sobre el funcionamiento real de su sistema de prevención, uno que además debe ser capaz de conversar con el negocio, con la operación y con la dinámica propia de la gestión de riesgos empresariales.

En buen chileno, que ocurra un accidente puede ser un síntoma grave, pero no reemplaza el análisis. Y eso es sano porque, si queremos compliance serio, tenemos que salir tanto del fetichismo del manual como del populismo de creer que, si algo pasó, entonces todo era humo.

La verdadera pregunta no es si el modelo existía en el papel. El verdadero examen es si era suficientemente robusto, adecuado al tipo de organización, vivo y exigible como para ser considerado un sistema de prevención y no una simple formalidad. Y esa, por suerte, no es una pregunta que debiera responderse por intuición.

*La autora de la columna es socia de Eticolabora y directora de empresas.