¿Esta tu empresa realmente protegida?

Nuestros servicios

La ciberseguridad y la protección de datos personales ya no son temas exclusivos de las grandes corporaciones. Hoy, cualquier empresa que almacene información de clientes, trabaje con terceros o dependa de sistemas informáticos está expuesta a brechas, sanciones legales y pérdidas económicas si no cumple con las nuevas normativas vigentes en Chile.

  • ¿Qué pasaría si mañana se filtra tu base de datos de clientes?

  • ¿O si te exigen borrar los datos de un extrabajador y no sabes cómo hacerlo?

  • ¿O si sufres un ciberataque y no tienes protocolos legales para actuar?

Ley 21.719 – Protección de Datos Personales

Ley 21.663 – Ley Marco de Ciberseguridad

¿Tu empresa esta preparada?

Ponte en contacto para que podamos empezar a trabajar juntos.

 

¿Tienes políticas y protocolos claros para el tratamiento de datos personales?

¿Has evaluado los riesgos cibernéticos que enfrenta tu operación?

¿Sabes si estás obligado a notificar incidentes o implementar un SGSI?

¿Tus trabajadores y proveedores están capacitados para prevenir un incidente?

¿Tienes un encargado de protección de datos o ciberseguridad designado?

Si alguna respuesta es «no» o «no estoy seguro», estás en zona de riesgo. La mayoría de las sanciones en Chile no se deben a mala fe, sino a desconocimiento o inacción.

CONTÁCTENOS, ESTAMOS PARA AYUDARLO

Analizamos tu caso y te propondremos la mejor estrategia para lograr todos tus objetivos. 

Explicación de la Ley de Protección de Datos Personales (Ley N° 21.719)

La Ley N° 21.719, publicada el 26 de agosto de 2024, moderniza en profundidad el régimen de protección de datos personales en Chile, derogando y reemplazando en gran parte a la antigua Ley 19.628. Inspirada en los principios del Reglamento General de Protección de Datos de la Unión Europea (GDPR), esta ley establece nuevas obligaciones para responsables y encargados del tratamiento de datos, reconoce derechos robustos para los titulares y crea la Agencia de Protección de Datos Personales como organismo fiscalizador.

Objetivo de la ley

El objetivo central de esta normativa es garantizar el respeto y protección efectiva de los derechos fundamentales de las personas respecto del tratamiento de sus datos personales, asegurando:

  • La autodeterminación informativa de los titulares.
  • La proporcionalidad en el tratamiento de datos.
  • La responsabilidad activa de quienes recolectan y usan datos.
  • La transparencia y trazabilidad de las operaciones de tratamiento.

Principios rectores

La ley establece principios esenciales que deben guiar todo tratamiento de datos:

  • Licitud: El tratamiento debe tener una base legal.
  • Finalidad: Los datos solo pueden usarse para fines legítimos, específicos y declarados.
  • Proporcionalidad: Solo se pueden tratar los datos necesarios para la finalidad.
  • Seguridad: Deben implementarse medidas técnicas y organizativas para proteger los datos.
  • Responsabilidad proactiva: El responsable debe demostrar cumplimiento continuo.
  • Transparencia: Debe informarse clara y accesiblemente a los titulares sobre el tratamiento.
  • Limitación de conservación: Los datos no pueden conservarse más del tiempo necesario.
  • Integridad y confidencialidad: Los datos deben mantenerse completos, exactos y protegidos contra accesos no autorizados.

3. Obligaciones de los responsables y encargados

La ley impone obligaciones concretas a quienes tratan datos:

  • Registro de actividades de tratamiento.
  • Evaluaciones de impacto para tratamientos de alto riesgo.
  • Designación de un delegado de protección de datos, en ciertos casos.
  • Gestor de consentimientos y documentación de bases legales.
  • Medidas de seguridad adecuadas al tipo de dato y nivel de riesgo.
  • Notificación de brechas de seguridad a la Agencia dentro de 72 horas.
  • Atención de solicitudes de ejercicio de derechos de los titulares (derechos ARCOP).

4. Derechos de los titulares (ARCOP)

La ley impone obligaciones concretas a quienes tratan datos:

  • Registro de actividades de tratamiento.
  • Evaluaciones de impacto para tratamientos de alto riesgo.
  • Designación de un delegado de protección de datos, en ciertos casos.
  • Gestor de consentimientos y documentación de bases legales.
  • Medidas de seguridad adecuadas al tipo de dato y nivel de riesgo.
  • Notificación de brechas de seguridad a la Agencia dentro de 72 horas.
  • Atención de solicitudes de ejercicio de derechos de los titulares (derechos ARCOP).

5. Creación de la Agencia de Protección de Datos Personales

Este organismo público autónomo tendrá facultades de:

  • Fiscalizar el cumplimiento de la ley.
  • Aplicar sanciones administrativas.
  • Dictar normas técnicas y recomendaciones.
  • Resolver reclamaciones de titulares.
  • Supervisar las evaluaciones de impacto.

6. Sanciones y consecuencias del incumplimiento

El no cumplimiento de la ley puede dar lugar a:

  • Multas de hasta 20.000 UTM, según gravedad.
  • Responsabilidad civil por daños causados a los titulares.
  • Suspensión o prohibición de tratamientos ilegales.
  • Daño reputacional que afecta relaciones con clientes, aliados y reguladores.
  • Posibles responsabilidades penales cuando se vulneren derechos fundamentales intencionadamente.

7. Vinculación con otras leyes y sistemas de cumplimiento

El cumplimiento de la Ley 21.719 no ocurre en el vacío: se articula con otras leyes como:

  • Ley Marco de Ciberseguridad (21.663): Protección de datos como activo crítico.
  • Ley de Delitos Económicos (21.595): Eventual responsabilidad penal por mal manejo de datos.
  • Normativas sectoriales como las de la CMF, Superintendencias o el Código del Trabajo.

Implementar un modelo de cumplimiento en protección de datos ayuda a consolidar una cultura organizacional orientada al respeto por los derechos, fortalece la gobernanza, mejora la gestión del riesgo legal y permite una defensa eficaz ante fiscalizaciones o incidentes.

8. Relevancia para las empresas y la sociedad

Cumplir con esta ley no solo evita sanciones, sino que genera valor. Las organizaciones que respetan la privacidad:

  • Generan confianza en sus clientes.
  • Diferencian su marca en el mercado.
  • Previenen fugas de información y ciberataques.
  • Mejoran procesos internos mediante orden y trazabilidad.
  • Cumplen con requisitos para contratar con el Estado o con grandes empresas.

Conclusión

La Ley 21.719 cambia radicalmente el enfoque de protección de datos en Chile: ya no basta con declarar buenas intenciones, ahora se exige evidencia de cumplimiento y responsabilidad activa. Su implementación efectiva es una obligación legal, una herramienta de competitividad y una necesidad ética en la era digital. Cada empresa, sin importar su tamaño o sector, debe tomar conciencia y actuar desde ya para cumplir esta ley y proteger uno de los activos más valiosos: los datos personales.

Ley Marco de Ciberseguridad (Ley N° 21.663)

La Ley Marco de Ciberseguridad, publicada el 8 de abril de 2024, representa un hito fundamental para la protección de los activos digitales y la infraestructura crítica del país. Esta normativa establece un marco jurídico vinculante y transversal que obliga a instituciones públicas y privadas a adoptar medidas de seguridad informática, con el fin de prevenir, detectar, responder y recuperarse frente a incidentes cibernéticos.

Objetivo central de la ley

El objetivo de la Ley Marco de Ciberseguridad es fortalecer la resiliencia del ecosistema digital nacional mediante la creación de un sistema de gobernanza que regule:

  • La prevención y gestión de riesgos cibernéticos.
  • La coordinación público-privada frente a incidentes de ciberseguridad.
  • El cumplimiento de obligaciones específicas por parte de entidades consideradas críticas para el funcionamiento del país.

Ámbito de aplicación y sujetos obligados

La ley distingue dos grandes categorías de entidades sujetas a obligaciones especiales:

  • Prestadores de Servicios Esenciales (PSE): Empresas que operan en sectores clave para el funcionamiento de la sociedad y la economía, como transporte, energía, salud, telecomunicaciones, servicios financieros, agua potable, entre otros.

  • Operadores de Importancia Vital (OIV): Infraestructuras cuya disrupción podría tener un impacto grave en la seguridad nacional, la salud pública o el orden económico. La clasificación como OIV es hecha por decreto fundado del Ministerio del Interior y Seguridad Pública, previo informe de la Agencia Nacional de Ciberseguridad (ANCI).

Principales obligaciones para los Prestadores de Servicios Esenciales

Las empresas consideradas PSE deben:

  • Adoptar medidas de ciberseguridad proporcionales a los riesgos de sus operaciones.
  • Designar un encargado de ciberseguridad con atribuciones claras.
  • Elaborar e implementar una política de ciberseguridad interna.
  • Establecer y mantener un protocolo de reporte de incidentes cibernéticos, que contemple los plazos definidos por reglamento.
  • Reportar incidentes relevantes a la ANCI en plazos que van desde las 3 horas hasta los 15 días, dependiendo de la gravedad del evento.
  • Colaborar con la Agencia Nacional de Ciberseguridad (ANCI) en procesos de investigación, mitigación y coordinación nacional.

Los Operadores de Importancia Vital (OIV), además de cumplir con todas las obligaciones anteriores, tienen exigencias adicionales más estrictas, tales como:

  • Contar con certificación de cumplimiento de ciberseguridad emitida por un tercero acreditado.
  • Implementar controles avanzados de seguridad basados en estándares internacionales.
  • Someterse a auditorías periódicas obligatorias.
  • Tener definidos planes de continuidad operativa y recuperación ante desastres.
  • Mantener trazabilidad y conservación de evidencia digital frente a incidentes graves.

Rol de la Agencia Nacional de Ciberseguridad (ANCI)

La ANCI es el ente rector del sistema nacional de ciberseguridad. Entre sus funciones están:

  • Coordinar la respuesta ante incidentes de gran escala.
  • Fiscalizar el cumplimiento de las obligaciones establecidas en la ley.
  • Aplicar sanciones administrativas por incumplimientos.
  • Emitir lineamientos, directrices técnicas y buenas prácticas.
  • Gestionar el Registro Nacional de Prestadores de Servicios Esenciales.

Reglamentos y plazos de cumplimiento

La ley se complementa con varios reglamentos que regulan aspectos como:

  • Los plazos y mecanismos de notificación de incidentes.
  • Los criterios para la clasificación de entidades como OIV.
  • Los requerimientos mínimos para las políticas de ciberseguridad.

Las empresas obligadas deben comenzar a implementar sus obligaciones dentro de los plazos definidos en dichos reglamentos, muchos de los cuales ya fueron publicados en 2025 y contemplan entre 6 y 12 meses de plazo para cumplimiento total.

Consecuencias del incumplimiento y relevancia en el ámbito de Compliance

El no cumplimiento de las obligaciones impuestas por la Ley Marco puede acarrear:

  • Multas administrativas significativas, impuestas por la ANCI.
  • Responsabilidad penal de la persona jurídica, si se configuran delitos informáticos o económicos en contexto de negligencia, conforme a la Ley 21.595 de Delitos Económicos.
  • Responsabilidad penal de directores y gerentes, en caso de omisiones graves en la supervisión del cumplimiento legal.
  • Daño reputacional, con consecuencias contractuales y de mercado.
  • Riesgos asegurables no cubiertos, si no hay evidencia de cumplimiento normativo.

El cumplimiento de esta normativa es clave desde el enfoque de Compliance: refuerza la cultura organizacional, mejora la trazabilidad de decisiones, previene delitos y permite la defensa jurídica efectiva de la organización y sus líderes ante incidentes o investigaciones.

Casos prácticos

Caso 1: Empresa de Transporte y Fraude Informático Una empresa de transporte terrestre con operaciones logísticas digitales sufre una modificación maliciosa en su sistema de órdenes de despacho. Un supervisor, en complicidad con terceros, emite facturas falsas durante meses. La empresa no contaba con controles técnicos ni jurídicos adecuados. Como resultado, se le imputa responsabilidad penal por negligencia grave en prevención de delitos informáticos y económicos, conforme a la Ley 21.595.


Caso 2: Empresa del Rubro de la Salud y Fuga de Datos Una clínica privada, considerada prestadora de servicio esencial, sufre una brecha de seguridad por un ransomware que compromete datos clínicos sensibles de más de 10.000 pacientes. Se demuestra que no tenía políticas ni protocolos de ciberseguridad, ni capacitación a su personal. Además, se tardó más de 10 días en reportar el incidente a la ANCI, incumpliendo plazos legales. El hecho da lugar a sanciones, demandas civiles y exposición penal por infracción a la Ley 21.663 y a la Ley de Protección de Datos Personales.

¿Por qué una empresa que presta servicios esenciales debe cumplir con la Ley Marco de Ciberseguridad?

A. Porque la ley expresamente lo obliga.

La Ley Marco de Ciberseguridad clasifica a los servicios esenciales, lo que implica que deben cumplir con las obligaciones específicas para ese tipo de operadores y en caso de incumplimiento se establecen sanciones.

B. Porque una interrupción de los sistemas en este tipo de empresas puede afectar gravemente la continuidad operacional del país.

En el sector transporte, los sistemas de logística, gestión de flotas, monitoreo satelital, control de accesos, y sistemas de despacho y trazabilidad son todos dependientes de tecnologías digitales. Un ciberataque puede:

  • Detener el despacho de productos críticos (alimentos, combustibles, medicamentos).
  • Afectar la cadena de suministro de supermercados, industrias o farmacias.
  • Provocar congestión, accidentes o interrupciones masivas.
  • Comprometer datos sensibles de usuarios, proveedores o trabajadores.

Ejemplo: un ransomware que afecte el sistema de control de flotas de una empresa de logística masiva podría impedir que lleguen productos a más de 200 supermercados en menos de 24 horas.

Lo mismo sucede en otros rubros como la salud, la generación de energía y el sector financiero, un ciberataque a un eslabón de la cadena de suministros en todos estos servicios esenciales puede generar un efecto importante para la economía del país e incluso para la salud de las personas.

C. Porque el incumplimiento puede generar sanciones, responsabilidad penal y daño reputacional

No cumplir con las obligaciones de la ley puede tener consecuencias graves:

  1. Sanciones administrativas impuestas por la Agencia Nacional de Ciberseguridad (ANCI), que van desde amonestaciones hasta multas económicas.
  2. Responsabilidad penal por delitos informáticos (Ley 21.459) si hay negligencia grave que facilita ataques.
  3. Responsabilidad penal de la persona jurídica si el incidente deriva en delitos que afecten a terceros, de acuerdo con la Ley N° 21.595 de Delitos Económicos.
  4. Daño reputacional y pérdida de contratos (por ejemplo, con grandes retailers o instituciones públicas que exigen cumplimiento normativo).
  5. Riesgo de ser demandada por terceros afectados (por ejemplo, por incumplimiento contractual si no entregan productos a tiempo debido a una falla cibernética).

D. Porque debe colaborar con la ANCI y reportar incidentes

Una empresa no puede actuar sola frente a un ciberataque. La ley la obliga a:

  • Designar un encargado de ciberseguridad que será interlocutor con la ANCI.
  • Reportar incidentes relevantes en plazos breves (3h, 72h, 7 días, etc.) según su impacto.
  • Implementar protocolos, políticas y controles de seguridad alineados con los estándares nacionales.
  • Colaborar con el CSIRT nacional y otros actores del ecosistema en caso de crisis.

E. Porque la ciberseguridad es un factor estratégico en contratos, licitaciones y asegurabilidad

Hoy, muchas grandes empresas o instituciones públicas exigen evidencia de cumplimiento en ciberseguridad como condición para contratar o renovar contratos.

Además:

  • Las aseguradoras ciber no otorgan cobertura si la empresa no tiene modelos mínimos de cumplimiento.
  • La CMF y la Ley de Delitos Económicos pueden cruzar información con la ANCI si hay vulneración de sistemas financieros o afectación económica grave.

CONCLUSIÓN

La Ley Marco de Ciberseguridad representa un cambio de paradigma: ya no basta con soluciones técnicas, sino que se requiere una gobernanza jurídica de la ciberseguridad. Su implementación adecuada requiere la participación activa de equipos legales, técnicos y de alta dirección. Es, al mismo tiempo, una obligación legal y una oportunidad para fortalecer la competitividad, la sostenibilidad y la protección integral de las empresas chilenas.