"Los 1.400 riesgos de Blumar y el enfoque basado en el riesgo": columna de abogado Diego Galleguillos es publicada por el Diario Constitucional

Los 1.400 riesgos de Blumar y el enfoque basado en el riesgo

Por: Diego Galleguillos, abogado de Ovalle / Consejeros Legales.

El Caso Bruma tiene como punto de partida el naufragio ocurrido el 30 de marzo de 2025 de la lancha pesquera del mismo nombre, luego de ser impactada por el buque Cobra, de propiedad de Blumar S.A., con resultado de siete personas fallecidas. A partir de estos hechos, el Ministerio Público formalizó a tres tripulantes del buque por el artículo 492 del Código Penal y, además, imputó responsabilidad penal a la persona jurídica, sosteniendo que la comisión del delito se habría visto favorecida o facilitada por una implementación insuficiente del Modelo de Prevención de Delitos (MPD) de la empresa.

En la formalización, la Fiscalía puso especial énfasis en la revisión de la matriz de riesgos y controles de Blumar, cuestionando que, aunque ésta contenía “más de 1.400 ítems de riesgos”, no contemplaba de manera expresa el riesgo de abordaje entre naves, pese a tratarse de una contingencia inherente a su propia actividad.

Un aspecto especialmente relevante es que el riesgo de incumplimiento que, supuestamente, no habría sido contemplado se relaciona con el cuasidelito previsto en el artículo 492 del Código Penal, que sanciona la imprudencia con infracción de reglamentos. Este ilícito, considerado delito económico susceptible de generar responsabilidad penal de la persona jurídica, merece un análisis particular, pues su configuración remite a deberes de conducta establecidos en reglamentos sectoriales y normas técnicas. En consecuencia, su incorporación en una matriz de riesgos o en un Modelo de Prevención de Delitos puede proyectarse en una multiplicidad de riesgos específicos, potencialmente tan extensa como el conjunto de deberes de conducta previstos en cada regulación aplicable, lo que representa un desafío significativo para la función de cumplimiento.

La lógica del enfoque basado en el riesgo

El artículo 4° de la Ley N° 20.393 es claro al señalar que un MPD será adecuado, para efectos de eximir de responsabilidad penal a la persona jurídica, en la medida en que, atendido su objeto social, giro, tamaño, complejidad y recursos, y entre otras cosas, considere razonablemente la identificación de las actividades o procesos que impliquen riesgo de conducta delictiva.

Lo anterior no es más que una expresión del enfoque basado en el riesgo, principio que se manifiesta, al menos, en dos dimensiones.

La primera se relaciona con la escala y complejidad de la organización; la segunda, con el contenido mismo del modelo, en cuanto exige la identificación de las actividades o procesos propios de la empresa.

Desde esa perspectiva, el MPD debe entenderse como un «traje hecho a la medida». No puede ser sobredimensionado, al punto de transformarse en una estructura costosa, rígida o inmanejable para la organización; pero tampoco puede resultar insuficiente frente a los riesgos relevantes de su operación.

Continuando con esta analogía, la utilidad del traje depende de quién lo usa y para qué lo usa. Así como un traje de ski no es apropiado para correr una maratón, un modelo diseñado para una empresa de servicios informáticos difícilmente servirá, así sin más, para una empresa que maneje residuos industriales.

Ahora bien, esa lógica debiera proyectarse también en la forma en que las autoridades ponderan la adecuación y efectividad de los Modelos de Prevención de Delitos.

La matriz de 1.400 riesgos

A partir de lo expuesto, resulta especialmente llamativo el cuestionamiento a la matriz de riesgos de Blumar por parte del Ministerio Público. En efecto, pese a que esta contemplaba más de 1.400 ítems, se le reprocha la falta de identificación expresa de un riesgo específico referido a un deber de conducta establecido en una normativa sectorial y vinculado de forma amplia al delito económico contemplado en el artículo 492 del Código Penal.

Al mismo tiempo, una matriz de esa magnitud también obliga a un ejercicio de honestidad respecto de la propia organización, en cuanto cabe cuestionarse hasta qué punto un universo tan extenso de riesgos potenciales puede ser efectivamente conocido, monitoreado y gestionado al interior de la empresa, considerando que cada uno de ellos suele encontrarse asociado a controles, mitigantes, responsables y mecanismos de seguimiento.

Sin perjuicio de lo anterior, es cierto también que el Ministerio Público acierta en que el riesgo de abordaje entre naves no era ajeno al marco regulatorio de la actividad, pero la discusión no debiera agotarse en su sola nominación expresa dentro de la matriz.

La cuestión de fondo parece estar en los incentivos que genera esta forma de entender el deber de identificación de riesgos, pues si ante una matriz de más de 1.400 riesgos, la respuesta es que todavía faltó uno más, el incentivo parece quedar puesto en la expansión indefinida de la matriz antes que en la identificación seria, razonable y priorizada de los riesgos relevantes.

Pero esa lógica no parece del todo consistente con el espíritu del artículo 4° de la Ley N° 20.393, que no exige abarcarlo todo, sino identificar adecuadamente aquellos procesos o actividades que, atendida la realidad concreta de la empresa, implican una exposición relevante a conductas delictivas. Por otra parte, los riesgos no necesariamente se abordan de una única manera ni se agotan en su sola nominación expresa dentro de la matriz.

Existen distintas formas de hacerse cargo de ellos dentro de un programa de cumplimiento normativo. En un caso como éste, por ejemplo, la gestión del riesgo podría encontrarse en algún protocolo de actuación frente a accidentes, en procedimientos de supervisión operativa o incluso en controles sobre certificaciones y competencias técnicas durante el proceso de contratación.

Algunas conclusiones

Con la reforma introducida por la Ley de Delitos Económicos, publicada el 17 de agosto de 2023, cuyas modificaciones a la Ley N° 20.393 entraron en vigencia el 2 de septiembre de 2024, se amplió significativamente tanto el catálogo de delitos susceptibles de generar responsabilidad penal para la empresa como el régimen de atribución de dicha responsabilidad. Con todo, al mismo tiempo se flexibilizó la lógica del Modelo de Prevención de Delitos, privilegiándose su implementación efectiva y su adecuación al tamaño, complejidad y recursos de cada organización.

Para que este sistema funcione y genere incentivos reales para la implementación efectiva de modelos de prevención, no se debe exigir lo mínimo, pero tampoco lo imposible, sino lo adecuado a la realidad de la empresa.

En ese contexto, y frente a una carga regulatoria cada vez más intensa y difícil de abarcar, las organizaciones deben adoptar conscientemente un enfoque basado en el riesgo al momento de diseñar e implementar sus modelos. No bastan los MPD estandarizados, pero tampoco se trata de levantar todos los riesgos posibles ni de construir verdaderos «elefantes blancos» de cumplimiento normativo, sino de identificar, priorizar y gestionar adecuadamente aquellos riesgos que, atendida la realidad de la empresa, realmente les corresponda abordar.

Esa misma lógica debiera orientar también a reguladores, Fiscalía y tribunales al momento de ponderar la adecuación, suficiencia y efectividad del MPD, en atención al propio espíritu de la norma.

* Columna publicada en el Diario Constitucional, lunes 27 de abril de 2026.