[google-translator]
Ley Marco de Ciberseguridad y Ley de Protección de Datos
Cumplimiento Ley 21.663 y Ley 21.719

Qué tiene que hacer tu empresa frente a la Ley Marco de Ciberseguridad y la Ley de Protección de Datos

La nueva normativa en Chile ya no es opcional. Si tu organización presta servicios esenciales, podría ser clasificada como Operador de Importancia Vital (OIV) o Prestador de Servicios Esenciales (PSE). Y, aun si no lo es, la Ley 21.719 de Protección de Datos Personales te va a exigir cambios profundos en cómo gestionas la información de personas.

Ley Marco de Ciberseguridad N° 21.663

Antes de todo: entender si la Ley Marco te alcanza directamente

La Ley 21.663 crea la Agencia Nacional de Ciberseguridad (ANCI) y define un marco obligatorio de ciberseguridad para:

  • Órganos de la Administración del Estado.
  • Prestadores de Servicios Esenciales (PSE), públicos o privados, en sectores como energía, agua, transporte, salud, telecomunicaciones, banca, entre otros.
  • Operadores de Importancia Vital (OIV), es decir, aquellos cuya interrupción puede afectar gravemente la seguridad nacional, el orden público o la continuidad de servicios críticos.

La ANCI publica los listados de PSE y OIV y puede fiscalizar, exigir evidencias de cumplimiento y aplicar sanciones que, en el caso de los OIV, pueden llegar a multas muy altas en casos de infracciones gravísimas.

Caso 1: Operador de Importancia Vital (OIV)

Si tu empresa es OIV (o sospechas que puede serlo)

Si la ANCI te ha notificado como OIV o estás en proceso de calificación, tu prioridad es implementar un sistema de gestión de ciberseguridad formal, documentado y auditable.

Qué tienes que hacer en la práctica

  • Designar responsables claros: nombrar un responsable de ciberseguridad (CISO o equivalente) con autoridad y recursos para implementar la ley.
  • Implementar un programa de ciberseguridad basado en estándares (p. ej. CIS, NIST, ISO 27001) alineado a las directrices de la ANCI.
  • Monitoreo continuo y SOC: contar con capacidades 24x7 para detectar, analizar y responder incidentes (internas o tercerizadas).
  • Reporte de incidentes al CSIRT Nacional: establecer procedimientos para reportar incidentes significativos en plazos como horas o días, según reglamentos vigentes.
  • Gestión de riesgos y continuidad: mantener inventario de activos críticos, análisis de riesgos, RTO/RPO, planes de continuidad y recuperación ante desastres probados.
  • Gobernanza y evidencias: políticas, procedimientos, registros de incidentes, capacitaciones y auditorías internas/externas trazables.
Ser OIV significa que la continuidad de tus servicios es de interés nacional. No basta con “tener antivirus”: necesitas un modelo de gestión completo, medible y demostrable frente a la ANCI.
Caso 2: Prestador de Servicios Esenciales (PSE) no OIV

Si eres PSE pero todavía no te han calificado como OIV

Aunque no seas OIV, como PSE la Ley Marco te considera un sujeto obligado. Muchos detalles técnicos se completan vía reglamentos, pero el mensaje es claro: debes prepararte desde ya.

Pasos recomendados

  • Verificar tu clasificación: revisar si el sector y tipo de servicio que prestas encajan en las categorías de “servicios esenciales” definidas por la normativa y los reglamentos.
  • Construir una línea base de ciberseguridad: políticas mínimas, controles técnicos (EDR, respaldo, segmentación, MFA, etc.), gestión de parches y monitoreo.
  • Definir un procedimiento de respuesta a incidentes: quién evalúa, quién declara, quién reporta y con qué herramientas se gestionan los incidentes.
  • Establecer relación formal con proveedores críticos: contratos que asignen responsabilidades de ciberseguridad y aseguren que sus fallas no comprometan tu cumplimiento.
  • Preparar evidencias: inventario de activos, matrices de riesgo, registros de incidentes, capacitaciones y planes de continuidad para cuando la ANCI o el regulador sectorial los requieran.
Aunque todavía no seas OIV, la mejor estrategia es comportarte como si fueras a serlo: así evitas improvisar cuando lleguen fiscalizaciones, reglamentos específicos o incidentes de alto impacto.
Caso 3: No soy OIV ni PSE (al menos por ahora)

Si hoy no eres OIV ni PSE… igualmente te afecta

Puede que tu empresa no aparezca en los listados de OIV ni PSE. Aun así, la Ley Marco te puede alcanzar indirectamente a través de:

  • Contratos con clientes que son OIV o PSE y que te exigirán estándares de ciberseguridad y evidencias.
  • Regulaciones sectoriales (financiero, salud, educación, etc.) que se irán alineando con la Ley 21.663.
  • Impacto reputacional y operativo frente a incidentes que, aunque no estén regulados, afectan la continuidad de tu negocio.

Qué deberías estar haciendo igual

  • Definir una política de ciberseguridad básica y roles internos (aunque sean parciales o tercerizados).
  • Implementar controles técnicos mínimos: gestión de identidades y accesos, respaldos confiables, EDR/antivirus, parches, MFA, cifrado donde corresponda.
  • Contar con un plan de respuesta ante incidentes y comunicación de crisis, aunque sea acotado al tamaño de tu organización.
  • Capacitar periódicamente a tu equipo en phishing, contraseñas y manejo seguro de la información.
La Ley Marco marca el estándar mínimo del país. Aunque hoy no estés en la lista de sujetos obligados, tus clientes y proveedores sí te van a exigir subir tu nivel de ciberseguridad.
Ley 21.719 de Protección de Datos Personales

Qué debe hacer tu empresa con la nueva Ley de Protección de Datos

La Ley 21.719 moderniza por completo el régimen de datos personales en Chile y crea una autoridad dedicada a fiscalizar, con multas importantes. Aplica a casi todas las organizaciones que tratan datos de personas: clientes, trabajadores, prospectos, usuarios, pacientes, etc.

Aplica aunque no seas OIV ni PSE

Paso 1: Saber qué datos manejas y por qué

  • Hacer un inventario de datos personales: qué datos recolectas, de quién, dónde se guardan y con qué sistemas.
  • Identificar la base de licitud de cada tratamiento: consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc.

Paso 2: Ajustar políticas, contratos y avisos de privacidad

  • Actualizar políticas internas y reglamentos (por ejemplo, Reglamento Interno de Orden, Higiene y Seguridad) para incorporar el tratamiento de datos personales.
  • Revisar contratos con proveedores que procesan datos (cloud, RRHH, marketing, etc.) para definir claramente responsable y encargado de tratamiento y sus obligaciones de seguridad.
  • Implementar o actualizar tus avisos de privacidad y cláusulas de consentimiento, en lenguaje claro y accesible.

Paso 3: Derechos de los titulares y brechas de seguridad

  • Establecer procesos para que las personas puedan ejercer sus derechos de acceso, rectificación, supresión, oposición y portabilidad.
  • Implementar un procedimiento de notificación de incidentes de seguridad que afecten datos personales, con plazos claros y responsables definidos.

Paso 4: Seguridad, DPO y Evaluaciones de Impacto

  • Aplicar medidas de seguridad técnicas y organizativas acordes al riesgo: cifrado, controles de acceso, registros de actividad, respaldo, pruebas de penetración, etc.
  • Designar un Delegado de Protección de Datos cuando la ley lo exija (por tamaño, tipo de datos o naturaleza del tratamiento), o nombrar un responsable interno con ese rol en organizaciones más pequeñas.
  • Realizar Evaluaciones de Impacto en Protección de Datos (DPIA) cuando se traten datos sensibles, a gran escala, o con tecnologías de alto riesgo para la privacidad.
La Ley 21.719 no es solo un tema legal: impacta procesos, sistemas, personas y proveedores. Lo más eficiente es integrarla desde el diseño en tus proyectos y en tu gobierno de ciberseguridad.

Nota: la ley contempla una entrada en vigencia diferida; sin embargo, las empresas que esperen “hasta el último día” difícilmente alcanzarán a implementar todos los cambios a tiempo.

Guía rápida de acción

Resumen: qué deberías estar haciendo hoy

Para la Ley Marco de Ciberseguridad

Clasificar: OIV / PSE / otros Inventario de activos críticos Plan de respuesta a incidentes
  • Confirmar si tu organización aparece (o podría aparecer) en listados de OIV o PSE.
  • Definir una hoja de ruta de ciberseguridad alineada a la ley y a tu realidad (tamaño, sector, criticidad).
  • Revisar contratos con proveedores y clientes críticos desde la perspectiva de ciberseguridad.

Para la Ley de Protección de Datos

Inventario de datos personales Avisos de privacidad DPO / Responsable de datos
  • Mapear datos personales, flujos y sistemas donde se almacenan o procesan.
  • Actualizar políticas, avisos de privacidad y cláusulas de consentimiento.
  • Definir un responsable o Delegado de Protección de Datos y un plan para DPIA cuando aplique.
Lo más eficiente es abordar ambas leyes como un programa integrado de ciberseguridad y protección de datos, y no como proyectos separados de “cumplimiento mínimo”.

¿Necesitas ayuda para aterrizar estas leyes en tu empresa?

Podemos acompañarte en todo el proceso: diagnóstico de brechas frente a la Ley Marco de Ciberseguridad y la Ley de Protección de Datos, definición de hoja de ruta, implementación tecnológica (SOC, respaldo, gestión de identidades, etc.) y generación de evidencias para fiscalizadores y auditorías.

Agendar una reunión Ver servicios de Ciberseguridad y Cumplimiento

Este contenido es informativo y general. No reemplaza asesoría legal especializada. Para un análisis concreto de tu situación, contáctanos.