¿Estás preparado para cumplir con la normativa y
evitar multas o incidentes que afecten tu reputación?
Las nuevas leyes chilenas de ciberseguridad establecen obligaciones claras para las organizaciones, según su tamaño, nivel de criticidad y tipo de servicios prestados. En esta guía encontrarás, en lenguaje simple, qué debes hacer si eres OIV, PSE o no estás en ninguna de esas categorías, y cómo te impactan la Ley Marco de Ciberseguridad y la Ley de Protección de Datos desde la perspectiva de riesgos, continuidad operativa y cumplimiento.
Promulgada en 2024, la Ley Marco de Ciberseguridad establece un nuevo sistema de gobernanza y fiscalización a nivel nacional, creando la Agencia Nacional de Ciberseguridad (ANCI) como organismo rector.
Creada por la Ley N.º 21.663 – Ley Marco de Ciberseguridad, la ANCI es el organismo que coordina, supervisa y
fiscaliza la ciberseguridad en Chile.
Misión: Proteger infraestructura crítica y fortalecer las capacidades de ciberseguridad del país.
La Ley 21.663 establece dos grandes categorías de entidades sujetas a obligaciones:
Prestadores de Servicios Esenciales (PSE):
Instituciones públicas o privadas cuya interrupción podría afectar la vida, seguridad, economía o abastecimiento del país. Ejemplos: ministerios, municipalidades, servicios públicos, empresas eléctricas, sanitarias, de transporte, telecomunicaciones, banca, salud o proveedores tecnológicos.
Importante: la ley no establece un listado cerrado de PSE. Cada organización debe analizar sus funciones y servicios para determinar si se encuentra dentro de las categorías definidas como servicios esenciales según la Ley 21.663. Además, incluso si una empresa no es PSE, sus clientes o socios podrían serlo, lo que implicará exigencias indirectas de cumplimiento y ciberseguridad.
Operadores de Importancia Vital (OIV):
Son entidades —públicas o privadas— cuya afectación impactaría la seguridad pública o el funcionamiento del Estado. La ANCI publicó en septiembre de 2025 la nómina preliminar de OIV, actualmente en consulta pública hasta el 16 de octubre, paso previo a su lista definitiva.
Define estándares mínimos
de seguridad.
Exige notificación de incidentes al CSIRT Nacional.
Mantiene el Registro de Servicios Esenciales (RCSE).
Fiscaliza
y sanciona incumplimientos.
Coordina con CSIRT sectoriales e internacionales.
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT Nacional) es el centro de coordinación y
respuesta ante incidentes graves en el país.
Supervisión de incidentes
de ciberseguridad a nivel
nacional.datos.
Coordinación con CSIRT
sectoriales (salud, banca,
energía, etc.).
Difusión de alertas y
recomendaciones de
seguridad.
Cooperación
internacional frente a
ciberamenazas.
El Registro de Ciberseguridad de Servicios Esenciales (RCSE) exige a
las empresas de sectores estratégicos notificar incidentes
y mantener planes de continuidad operativa.
Entra en vigencia en diciembre de 2026, prepárate para dar cumplimiento a la ley.
Misión: Proteger a las personas frente al mal uso de sus datos y fortalecer
la confianza en cómo las empresas y el Estado gestionan la información personal.
Aplica a todas las entidades que manejen datos personales de personas en Chile, incluyendo empresas privadas,
organismos públicos, pymes y profesionales independientes. También se extiende a organizaciones extranjeras
que ofrezcan bienes o servicios a residentes en Chile o que traten sus datos personales.
Requiere consentimiento
expreso para el uso de datos.
Define la figura del Delegado de
Protección de Datos en empresas.
Establece sanciones económicas
severas por mal uso o filtraciones.
Crea la Agencia de Protección de
Datos Personales, encargada de
supervisar, fiscalizar y sancionar
el cumplimiento de la ley.
Refuerza el derecho al olvido,
portabilidad y rectificación
de datos.
El incumplimiento de estas
normativas puede derivar en:
