Artículos

Ciberseguridad y Protección de Datos: El Nuevo Mínimo Legal para las Empresas en Chile.

En los últimos años, Chile ha dado pasos decisivos en la regulación del entorno digital. Dos leyes clave —la Ley Marco de Ciberseguridad (Ley N° 21.663) y la nueva Ley de Protección de Datos Personales (Ley N° 21.719)— obligan a las empresas a adoptar medidas concretas y verificables para proteger sus activos digitales y la información de las personas.
Como abogados que asesoran a empresas, es fundamental comprender quiénes están obligados, qué exige la ley, y qué riesgos enfrentan quienes no cumplen.

Ley Marco de Ciberseguridad – Ley N° 21.663
¿Qué es?
Establece un marco jurídico nacional para la ciberseguridad y crea la Agencia Nacional de Ciberseguridad (ANCI). Su objetivo es proteger la infraestructura crítica digital del país frente a ciberamenazas y ataques.

¿A quiénes aplica?
Empresas catalogadas como:

    • Operadores de importancia vital (OIV) (por ejemplo: energía, salud, transportes, telecomunicaciones).
    • Proveedores de servicios esenciales y relevantes. Son organizaciones públicas o privadas que proveen servicios cuya interrupción comprometería gravemente la vida, integridad o seguridad de las personas, o afectaría el orden público o la seguridad nacional. Empresas de telecomunicaciones,
      proveedores de agua potable y alcantarillado, distribución eléctrica, operadores de transporte público estratégico, proveedores de servicios de salud (hospitales, clínicas, sistemas de urgencia), transporte y logística crítica (puertos, aeropuertos), sistemas de pagos electrónicos y financieros fintech, adquirentes, bancos)

      Órganos del Estado.
      ¿Qué exige?
    • Políticas de ciberseguridad.
    • Reporte de incidentes en plazos establecidos.
    • Planes de continuidad y respuesta.
    • Certificación de cumplimiento.
    • Supervisión y fiscalización por la ANCI.

    ¿Qué arriesga una empresa que no cumple?

    • Multas que pueden superar las 40.000 UTM.
    • Suspensión de operaciones.
    • Responsabilidad penal en casos graves (bajo la Ley de Delitos Económicos).
    • Daño reputacional severo.

    Ley de Protección de Datos Personales – Ley N° 21.719
    ¿Qué es?
    Moderniza el marco legal de datos personales en Chile y adapta el país al estándar europeo (similar al GDPR). Regula el tratamiento de datos personales por parte de entidades públicas y privadas.
    ¿A quiénes aplica?

      • Toda empresa o institución que trate datos personales, incluso si no son datos sensibles.
      • No se excluye por tamaño: una PyME con una base de clientes también debe cumplir.
        ¿Qué exige?
      • Cambiar la forma de tratar datos personales de acuerdo a sus principios.
      • Medidas de seguridad técnicas y organizativas.
      • Respuesta oportuna a derechos ARCOP (acceso, rectificación, cancelación, oposición, portabilidad).
      • Designación de un responsable o delegado de protección de datos.
        ¿Qué arriesga quien no cumple?
      • Multas de hasta 20.000 UTM por infracción.
      • Responsabilidad civil por daños.
      • Reclamaciones ante la nueva Agencia de Protección de Datos.
      • Sanciones reputacionales, pérdida de clientes y acciones colectivas.
        ¿Por qué es urgente?
        Estas leyes ya están vigentes y establecen plazos para su implementación. A la vez, la creciente judicialización de incidentes digitales y filtraciones de datos ha puesto a las empresas bajo un escrutinio público y legal creciente.

      Beneficios directos de la implementación de estas normativas:

      Reducción real del riesgo de ciberataques

        • Implementar controles, monitoreo y protocolos exigidos por la Ley Marco disminuye la probabilidad y el impacto de ataques como ransomware, phishing, sabotajes o filtraciones.
        • Permite detectar incidentes a tiempo y actuar antes de que escalen.
          Evitar una filtración puede ahorrar millones en recuperación, multas y daño reputacional.

        Cumplimiento normativo y prevención de sanciones

          • Ambas leyes establecen obligaciones concretas, plazos y sanciones severas (hasta 20.000 UTM en datos personales y 40.000 UTM en ciberseguridad).
          • El cumplimiento documentado permite responder ante fiscalizaciones, reclamos o investigaciones.
            Evita multas, clausuras, suspensiones de servicio y acciones legales de terceros.

          Protección de la reputación y la confianza

            • Las empresas que protegen los datos personales y la infraestructura crítica demuestran compromiso con sus clientes, trabajadores y socios.
            • Una sola filtración o exposición en prensa puede dañar irreparablemente la imagen de la empresa.
              La confianza digital es un activo. Protegerla es un deber estratégico.

            Ventaja competitiva frente a clientes y licitaciones
            Cada vez más grandes empresas y organismos públicos están exigiendo a sus proveedores el cumplimiento de la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales como criterio de evaluación o requisito mínimo.

              • En licitaciones privadas, las compañías prefieren contratar a empresas que ya cuentan con políticas, controles y protocolos implementados, pues eso reduce el riesgo de disrupciones operativas o crisis reputacionales asociadas a ciberincidentes.
              • En licitaciones públicas, el cumplimiento de estas normativas se está incorporando como parte de los criterios de seguridad, continuidad operacional y cumplimiento legal.
                Hoy, cumplir con estas leyes ya no es solo una obligación: es un factor decisivo para ser elegidos como proveedor.

              Mejora interna de procesos y resiliencia organizacional

                • Implementar estas normativas exige revisar procesos, roles, controles y canales de respuesta.
                • El resultado es una organización más ordenada, consciente del riesgo y resiliente ante crisis.
                • Mejoran la gobernanza, los tiempos de respuesta y la coordinación interna.

                Seguridad jurídica en el tratamiento de datos

                  • Contar con políticas, registros y consentimiento válido protege a la empresa ante reclamos por uso indebido de datos.
                  • El cumplimiento te respalda frente a la Agencia de Protección de Datos o ante tribunales.
                    Evita juicios, indemnizaciones y pérdida de credibilidad.

                  Posibilidad de certificar buenas prácticas (Compliance)

                    • Las leyes permitirán a futuro certificaciones y sellos oficiales, lo que puede ser usado en marketing, rendición de cuentas y cumplimiento ESG.
                    • Facilita integrar estas prácticas a los sistemas de compliance ya existentes (ej. ISO 27001, Ley 21.595).
                      ¿Cómo aportar como abogados?
                      Aunque no todos los estudios legales asesoran directamente en estas materias, es vital que alertemos a nuestros clientes sobre la necesidad de:
                    • Implementar políticas de cumplimiento.
                    • Obtener asesoría técnica y legal especializada.
                    • Estar preparados para fiscalizaciones y requerimientos regulatorios.
                      Ignorar estas normativas no solo expone a nuestros clientes a sanciones, sino también a crisis legales, operativas y reputacionales que podrían haberse evitado.
                      Si necesitas un acompañamiento confiable para tus clientes en la implementación de estas leyes, o deseas conversar cómo colaborar, quedo disponible.

                    Sebastián Izquierdo Bascuñán, Abogado penalista y regulatorio,
                    Socio Estudio Jurídico Izquierdo & Hurtado

                    CONTÁCTENOS, ESTAMOS PARA AYUDARLO

                    Analizamos tu caso y te propondremos la mejor estrategia para lograr todos tus objetivos.