La protección de datos es uno de los focos para garantizar la seguridad en las empresas, y la legislación chilena se ha estado actualizando para contribuir en esta tarea.

Por Juan Pablo González Gutiérrez  

En el último año, Chile ha vivido un proceso significativo en cuanto a la actualización de sus normativas tecnológicas, con la aprobación de nuevas leyes que colocan al país a la vanguardia en Latinoamérica. Estas reformas, inspiradas en gran parte por los estándares europeos, están orientadas a fortalecer la ciberseguridad y la protección de los datos personales, sectores clave en un mundo digital cada vez más interconectado.  

La Ley Nº 21.663 y la Agencia Nacional de Ciberseguridad  

Una de las normativas más destacadas es la Ley Nº 21.663, que establece un Marco de Ciberseguridad y crea la Agencia Nacional de Ciberseguridad (ANCI). Esta ley se inspira en la Directiva Europea NIS2, uno de los marcos más avanzados en ciberseguridad a nivel global. La ANCI comenzará sus actividades el 1 de enero de 2025, y en marzo de ese año entrarán en vigor las disposiciones clave que afectan tanto a los servicios esenciales como a los operadores de importancia vital (OIV).  

Entre las principales obligaciones que la ley impone a los servicios esenciales, destaca la necesidad de implementar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas pueden ser de naturaleza tecnológica, organizacional, física o informativa, dependiendo del caso. Además, los OIV deberán adoptar un sistema de gestión de seguridad de la información (SGSI) y planes de continuidad operativa y ciberseguridad, que pueden basarse en estándares internacionales como ISO 27.001 o el NIST Cybersecurity Framework (CSF).  

La normativa también establece plazos estrictos para el reporte de incidentes. Las organizaciones deberán alertar a la ANCI, sobre ciberataques significativos en un plazo máximo de tres horas, con actualizaciones en 72 horas y un informe final en 15 días. En el caso de los OIV, el plazo se reduce a 24 horas para la alerta inicial. Las sanciones por incumplimiento pueden ser severas, alcanzando multas de hasta 40.000 UTM para los OIV.  

Ley Nº 21.719 y la Protección de Datos Personales  

Por otro lado, la Ley Nº 21.719, que regula la protección de datos personales, representa un cambio profundo en la forma en que las organizaciones deben manejar la información sensible. Esta ley entrará en vigor el 1 de diciembre de 2026, pero las organizaciones deben comenzar a adaptarse desde ya para evitar futuros riesgos de incumplimiento.  

Esta legislación crea la Agencia de Protección de Datos Personales, encargada de supervisar el cumplimiento de las normativas y de imponer sanciones en caso de infracciones. A diferencia de la Ley Nº 19.628, que carecía de un órgano fiscalizador efectivo, la nueva ley introduce un régimen de sanciones diferenciado y establece claras responsabilidades para las entidades que procesan datos personales. Las infracciones graves pueden ser sancionadas con multas de hasta 20.000 UTM, y en el caso de las infracciones gravísimas, las multas pueden llegar hasta 40.000 UTM, con la posibilidad de un aumento del 50% si no se subsanan las deficiencias dentro de un plazo determinado. 

Las empresas deben tomar medidas proactivas, como la designación de un delegado de protección de datos o la creación de un comité interno, para asegurar el cumplimiento de la normativa. Esto incluye identificar los datos personales que se procesan, establecer protocolos para la protección de esta información y crear mecanismos de reporte y sanción en caso de incumplimiento. Además, deberán adoptar medidas de seguridad adecuadas para proteger la información y garantizar la transparencia frente a los titulares de los datos.  

Desafíos para la protección de datos en las organizaciones  

Con la entrada en vigor de ambas leyes, Chile enfrentará desafíos significativos en la gestión de riesgos de ciberseguridad y protección de datos personales. Las organizaciones públicas y privadas deberán tener un conocimiento claro de sus procesos y de los datos que manejan para poder identificar y mitigar adecuadamente los riesgos asociados a cada uno de estos marcos regulatorios.  

Es fundamental que las empresas se adelanten a los cambios normativos, implementando sistemas de gestión de riesgos que les permitan cumplir con los nuevos requerimientos. Esto puede incluir el uso de tecnología avanzada, como herramientas de diagnóstico y autoevaluación, para identificar vulnerabilidades y tomar decisiones informadas antes de que entren en vigor las nuevas disposiciones.  

Conclusión  

El 2025 marcará un punto de inflexión para las organizaciones en Chile, que deberán adaptarse rápidamente a un entorno normativo más exigente en materia de ciberseguridad y protección de datos personales. Cumplir con estas nuevas regulaciones no solo evitará sanciones, sino que también mejorará la resiliencia de las organizaciones frente a las crecientes amenazas cibernéticas y fortalecerá la confianza de los usuarios en el manejo de su información personal. La preparación anticipada será clave para enfrentar estos retos de manera efectiva y garantizar el cumplimiento de las normativas de manera proactiva.  

Como main sponsor del 10° Congreso Latinoamericano IA, Tecnología y Negocios America Digital 2025, Assertiva estará brindando distintas charlas sobre ciberseguridad en el programa de conferencias. No te pierdas sus pláticas ni dejes de visitar el stand A3 del piso de exhibición de la Expo, este 2 y 3 de abril en Espacio Riesco. Compra tus entradas aquí.