[google-translator]
Ley Marco de Ciberseguridad y Ley de Datos – Guía Empresarial
Cumplimiento Ley 21.663, 21.719 y 21.459

Guía para empresas en Chile. Todo lo que debes saber sobre:

La Ley Marco de Ciberseguridad 21.663

La Ley de Protección de Datos Personales 21.719

La Ley de Delitos Infomáticos 21.459

Las nuevas leyes chilenas establecen obligaciones claras para las organizaciones según su tamaño, nivel de criticidad y tipo de servicios prestados. Esta página resume, en lenguaje simple, qué debes hacer si eres OIV, PSE o no estás en ninguna de esas categorías, y cómo te impactan la Ley Marco, la Ley de Protección de Datos y la Ley de Delitos Informáticos.

1. Ley Marco de Ciberseguridad (Ley 21.663)

La Ley Marco crea la Agencia Nacional de Ciberseguridad (ANCI) y regula la seguridad de:

  1. Órganos del Estado.
  2. Prestadores de Servicios Esenciales (PSE).
  3. Operadores de Importancia Vital (OIV).

Puedes revisar el texto completo de la Ley N.º 21.663 (Marco de Ciberseguridad) en la Biblioteca del Congreso Nacional en el siguiente enlace: Texto completo Ley N.º 21.663 en BCN

Además, puedes revisar si tu organización aparece en los listados oficiales publicados en el Diario Oficial en el siguiente enlace: Listado de entidades en el Diario Oficial .

Si tu empresa presta servicios en sectores críticos (energía, agua, salud, transporte, telecomunicaciones, banca, etc.), existe una alta probabilidad de que sea considerada PSE y, eventualmente, calificada como OIV.

2. Si tu empresa es Operador de Importancia Vital (OIV)

Qué significa ser OIV

Un OIV es una organización cuya interrupción afecta gravemente la seguridad nacional, el orden público o la continuidad de servicios críticos. Para estos casos, la Ley Marco exige el nivel más alto de madurez en ciberseguridad.

Obligaciones principales

  1. Nombrar un responsable formal de ciberseguridad (CISO o cargo equivalente).
  2. Implementar un Sistema de Gestión de Ciberseguridad basado en estándares (CIS, NIST, ISO 27001, etc.).
  3. Contar con monitoreo continuo (SOC 24/7) para detectar y responder incidentes.
  4. Reportar incidentes al CSIRT Nacional en los plazos que definan los reglamentos.
  5. Realizar análisis de riesgos, definir RTO y RPO y mantener planes de continuidad y recuperación probados.
  6. Demostrar cumplimiento mediante políticas, procedimientos, registros y auditorías periódicas.
Ser OIV implica que la continuidad de tus servicios es un asunto de interés nacional. Las infracciones más graves y gravísimas de la ley, y las multas más altas, están pensadas para este tipo de operadores.

3. Si tu empresa es Prestador de Servicios Esenciales (PSE)

Qué significa ser PSE

Los PSE son organizaciones públicas o privadas que prestan servicios considerados esenciales para la población y el funcionamiento del país (por ejemplo, algunos servicios de salud, transporte, comunicaciones, servicios financieros, entre otros).

Obligaciones principales

  1. Confirmar formalmente si tu servicio califica como “esencial”.
  2. Implementar una línea base de ciberseguridad: MFA, respaldos, inventario de activos, parches, EDR/antivirus, segmentación de redes, etc.
  3. Diseñar y documentar procesos de respuesta a incidentes.
  4. Actualizar contratos con proveedores críticos para incluir obligaciones específicas de ciberseguridad.
  5. Registrar evidencias: análisis de riesgo, incidentes, capacitaciones, pruebas de continuidad y auditorías.
Aunque todavía no seas OIV, como PSE estás dentro del alcance directo de la ley. La mejor estrategia es prepararte como si fueras a ser evaluado en ese nivel.

4. Si tu empresa NO es OIV ni PSE

Incluso si hoy no apareces en listados de OIV o PSE, la Ley Marco te afecta de forma indirecta:

  • Tus clientes OIV o PSE te exigirán cumplir estándares mínimos de ciberseguridad.
  • Reguladores sectoriales (financiero, salud, educación, etc.) se irán alineando a la Ley 21.663.
  • Un incidente serio puede afectar continuidad, reputación, contratos y nuevas oportunidades de negocio.

Qué deberías implementar al menos

  1. Una política de ciberseguridad y roles internos (aunque algunos sean tercerizados).
  2. Controles técnicos básicos: MFA, EDR/antivirus, respaldos confiables, gestión de parches, cifrado cuando corresponda.
  3. Plan de respuesta a incidentes y un esquema básico de comunicación de crisis.
  4. Capacitación continua al personal sobre phishing, contraseñas y manejo seguro de la información.

5. Ley 21.719 – Ley de Protección de Datos Personales

La Ley 21.719 se aplica prácticamente a todas las organizaciones que tratan datos personales (trabajadores, clientes, proveedores, prospectos, usuarios, pacientes, etc.). Define principios, derechos de las personas y obligaciones para los responsables y encargados de tratamiento.

Puedes revisar el texto completo de la Ley N.º 21.719 (Protección de Datos Personales) en la Biblioteca del Congreso Nacional en el siguiente enlace: Texto completo Ley N.º 21.719 en BCN

Paso 1: Inventario de datos

  1. Identificar qué datos personales recolectas (identificación, contacto, financieros, salud, etc.).
  2. Determinar dónde se almacenan (sistemas, bases de datos, archivos físicos) y quién tiene acceso.
  3. Definir la base de licitud de cada tratamiento: consentimiento, contrato, obligación legal, interés legítimo, etc.

Paso 2: Políticas, contratos y avisos

  1. Redactar o actualizar avisos de privacidad claros, completos y accesibles.
  2. Actualizar políticas internas que regulen el tratamiento de datos personales.
  3. Revisar contratos con encargados de tratamiento (cloud, RRHH, marketing, TI, etc.).

Paso 3: Derechos de los titulares

  1. Definir procedimientos para ejercer derechos de acceso, rectificación, supresión, oposición y portabilidad.
  2. Establecer plazos, responsables y canales de contacto para estas solicitudes.

Paso 4: Seguridad, DPO y DPIA

  1. Implementar medidas técnicas y organizativas acordes al riesgo (controles de acceso, registros de actividad, cifrado, respaldo, pruebas de seguridad, etc.).
  2. Designar un Delegado de Protección de Datos (DPO) cuando la ley lo requiera, o un responsable interno en organizaciones más pequeñas.
  3. Realizar Evaluaciones de Impacto en Protección de Datos (DPIA) en tratamientos de alto riesgo o con datos sensibles.

6. Ley 21.459 – Delitos Informáticos (Convención de Budapest)

La Ley 21.459, también conocida como Ley de Delitos Informáticos, moderniza por completo los delitos asociados al uso de sistemas informáticos, incorpora penas de cárcel y se alinea con la Convención de Budapest, el estándar internacional para la persecución del cibercrimen.

Puedes revisar el texto completo en la Biblioteca del Congreso Nacional: Texto completo Ley N.º 21.459 en BCN

Importancia de la Ley 21.459

  1. Actualiza los delitos informáticos después de más de 20 años.
  2. Tipifica nuevas conductas como acceso ilícito, interceptación, sabotaje, abuso de credenciales y tráfico de malware.
  3. Establece penas de cárcel que pueden llegar a varios años de presidio, según la gravedad.
  4. Alinea a Chile con estándares globales (Convención de Budapest).
  5. Obliga a empresas a preservar evidencia digital ante incidentes.

Relación con la Ley Marco (21.663) y la Ley de Datos (21.719)

  1. Complementa la Ley Marco: La Ley 21.663 exige prevenir y gestionar incidentes; la Ley 21.459 sanciona penalmente a quienes cometen ataques.
  2. Protege datos personales: La Ley 21.719 exige proteger datos; la Ley 21.459 sanciona el acceso, robo, uso o publicación ilícita de datos personales.
  3. Refuerza la necesidad de un SOC y controles técnicos: El sabotaje informático, el ataque a servidores, ransomware y phishing ahora tienen consecuencias penales.
  4. Formaliza la obligación de gestionar incidentes con evidencia: Si ocurre un ataque, la empresa debe preservar logs y registros, porque pueden constituir prueba judicial.

Principales delitos definidos por la Ley 21.459

  1. Acceso ilícito a sistemas informáticos (sin autorización).
  2. Intercepción de comunicaciones digitales.
  3. Atentados a la integridad de un sistema (sabotaje, borrado, caída de servicios).
  4. Atentados a la integridad de datos (manipulación, destrucción, ransomware).
  5. Falsificación informática.
  6. Abuso de credenciales o suplantación digital.
  7. Tráfico, producción o distribución de malware.

Qué debe hacer tu empresa (mínimo)

  1. Configurar y conservar registros de actividad (logs) adecuados para ser evidencia.
  2. Implementar MFA y controles de acceso basados en roles.
  3. Proteger cuentas administrativas, VPN y acceso remoto.
  4. Contar con respaldo seguro y pruebas de restauración ante ransomware.
  5. Capacitar a los usuarios en phishing, ingeniería social y robo de credenciales.
  6. Documentar procedimientos para conservar, entregar y resguardar evidencia digital.
  7. Contar con un proveedor o servicio SOC para monitorear y detectar actividades delictivas.
La Ley 21.459 es el “lado penal” de la ciberseguridad en Chile. Mientras la Ley Marco exige controles y la Ley de Datos exige proteger información, esta ley castiga penalmente a atacantes e impone deberes de preservación de evidencia a las empresas.

7. Tamaños de empresa según las leyes

Tanto la Ley Marco de Ciberseguridad como la Ley de Protección de Datos utilizan la clasificación de empresas del Ministerio de Economía basada en ventas anuales en UF. Esta clasificación se usa para modular las multas y ajustar las exigencias de forma proporcional.

Clasificación por ventas anuales (UF)

  • Microempresa: hasta 2.400 UF al año.
  • Pequeña empresa: entre 2.401 y 25.000 UF al año.
  • Mediana empresa: entre 25.001 y 100.000 UF al año.
  • Gran empresa: más de 100.000 UF al año.

Cómo impacta esto en tus obligaciones

  1. Micro y pequeña empresa: deben cumplir la ley, pero se espera una implementación proporcional a su tamaño y recursos. Las multas se reducen dentro del rango.
  2. Mediana empresa: se espera un nivel de formalidad mayor (políticas, registros, evidencias, análisis de riesgos, etc.).
  3. Gran empresa: se espera implementar modelos de gestión completos y demostrables; son las más expuestas a los tramos altos de multa.
La ley ajusta las sanciones según tamaño de empresa, pero el criterio clave no es solo cuánto facturas, sino también el impacto de tus servicios (especialmente si eres PSE u OIV).

8. Cuándo parten las leyes en la práctica

Ley 21.663 – Ley Marco de Ciberseguridad

  1. Publicación en el Diario Oficial: 2024.
  2. Entrada en vigencia legal: inmediata.
  3. Obligaciones específicas (estándares, reportes, listados OIV/PSE) se activan con los reglamentos de la ANCI.
  4. La ANCI tiene un plazo de hasta 18 meses para dictar estos reglamentos, por lo que el periodo 2025–2026 será clave para la implementación y fiscalización.

Ley 21.719 – Ley de Protección de Datos Personales

  1. Publicada en 2024.
  2. Contempla una vacancia legal de 24 meses.
  3. La aplicación plena de sanciones y deberes comenzará en torno a 2026.
Esperar “hasta que la ley se aplique” es un error frecuente. Implementar políticas, inventarios, contratos y tecnologías requiere meses (o años) de trabajo. Las empresas que comiencen antes llegarán preparadas al momento en que la fiscalización sea estricta.

9. Acciones mínimas recomendadas

Para ciberseguridad (Ley Marco – todas las empresas)

  1. Definir una política de ciberseguridad aprobada por la dirección.
  2. Nombrar responsables claros (internos o tercerizados) para ciberseguridad y continuidad.
  3. Crear un inventario de activos críticos (servidores, aplicaciones, datos, proveedores clave, etc.).
  4. Activar MFA al menos en accesos remotos, correo y sistemas críticos.
  5. Implementar EDR/antimalware moderno y gestión de parches periódica.
  6. Contar con respaldo confiable, probado, con RTO/RPO definidos.
  7. Diseñar un plan básico de respuesta a incidentes y documentar los eventos relevantes.
  8. Realizar al menos una capacitación anual en ciberseguridad para todo el personal.

Para protección de datos (Ley 21.719 – todas las empresas)

  1. Completar un inventario de datos personales (qué datos, de quién, dónde y para qué).
  2. Actualizar o crear avisos de privacidad claros, alineados a la nueva ley.
  3. Revisar contratos con encargados de tratamiento para asegurar obligaciones de seguridad y confidencialidad.
  4. Definir un procedimiento para ejercer derechos (acceso, rectificación, supresión, oposición, portabilidad).
  5. Documentar un proceso de notificación de brechas que afecten datos personales.
  6. Revisar y fortalecer las medidas de seguridad sobre sistemas que tratan datos personales.
  7. Designar un responsable de datos personales y, cuando corresponda, un DPO formal.
Lo más eficiente es integrar ciberseguridad y protección de datos en un solo programa: gobierno, riesgos, controles técnicos, continuidad, contratos y evidencias. No son proyectos separados, sino dos caras de la misma gestión.

10. Multas y riesgos económicos

Multas según la Ley Marco de Ciberseguridad (21.663)

  • Infracción leve: 1 a 2.000 UTM.
  • Infracción grave: 2.001 a 10.000 UTM.
  • Infracción muy grave: 10.001 a 20.000 UTM.
  • Infracción gravísima (solo OIV): 20.001 a 40.000 UTM.

Multas según la Ley de Protección de Datos (21.719)

  • Leve: 1 a 100 UTM.
  • Grave: 101 a 10.000 UTM.
  • Gravísima: 10.001 a 20.000 UTM o hasta el 4% de las ventas anuales, lo que sea mayor.

Efecto del tamaño de la empresa en las multas

  1. Microempresa: hasta 2.400 UF – las sanciones pueden ser reducidas significativamente dentro del rango.
  2. Pequeña empresa: 2.401 a 25.000 UF – reducción moderada respecto de los topes.
  3. Mediana empresa: 25.001 a 100.000 UF – aplicación de tramos intermedios.
  4. Gran empresa: más de 100.000 UF – se tiende a aplicar el tramo alto de las multas.
En la práctica, las organizaciones grandes y aquellas catalogadas como OIV o PSE son las más expuestas a los montos máximos. La nueva Ley de Protección de Datos, además, permite sanciones de hasta el 4% de las ventas anuales, acercando el régimen chileno a estándares internacionales como el RGPD europeo.

¿Necesitas ayuda y no sabes qué hacer o por donde empezar?

Recuerda, Netsus es un Operador de Importancia Vital OIV

Por lo tanto sabemos que hacer, tenemos las herramientas, los sistemas y la asesoria legal que requieres. De este modo, somos capaces de llevarte al cumplimiento que requeires de manera de eficiente y acorde a tus necesidades. Hacemos un diagnostico inicial, con el cual revisamos tu nivel de cumplimiento y el impacto al cual esta sometido tu negocio en caso algún incidente o de de incumplimiento.

Agendar reunión

¿ Necesitas más información ?

Cotiza tu servicio.