El Desafío para las Empresas en Ciberseguridad y Protección de Datos

Un Nuevo Paisaje Legal Digital en Chile: El Desafío para las Empresas en Ciberseguridad y Protección de Datos
Chile se encuentra en una etapa decisiva en la consolidación de su ecosistema digital, impulsado por tres pilares normativos que redefinen el rol de las empresas frente a la ciberseguridad, los delitos informáticos y la protección de datos personales. Las leyes 21.459 (Delitos Informáticos), 21.663 (Ley Marco de Ciberseguridad) y 21.719 (Protección de Datos Personales) establecen un marco robusto, alineado con estándares internacionales como el Convenio de Budapest y principios inspirados en el RGPD europeo.
Ley 21.459: Delitos Informáticos y la Obligación de Colaboración
Esta normativa tipifica delitos modernos como el acceso indebido a sistemas, la interferencia maliciosa y el uso no autorizado de dispositivos tecnológicos. Deroga la antigua ley 19.223 y define nuevas obligaciones para los prestadores de servicios digitales, sean públicos o privados. Un aspecto clave es la obligación de preservar datos informáticos ante requerimientos del Ministerio Público, lo que implica que empresas con roles tecnológicos deben contar con procedimientos internos para responder a tales solicitudes dentro de plazos legales.
Implicancia técnica: La gestión de logs, registros de actividad y medidas de resguardo de integridad se vuelven tareas críticas para áreas de infraestructura y compliance. Por ejemplo, un proveedor cloud municipal deberá implementar mecanismos para conservar información de sesiones durante al menos 90 días si es requerido judicialmente. Asimismo, una empresa financiera que actúe como prestador de servicios digitales deberá mantener trazabilidad sobre el acceso a sistemas críticos en caso de un incidente.
Ley 21.663: Ciberseguridad como Política de Estado y Deber Empresarial
Esta ley crea la Agencia Nacional de Ciberseguridad (ANCI) y establece estándares de prevención, reporte y contención de incidentes para entidades que prestan servicios esenciales o son consideradas operadores de importancia vital. Abarca sectores como energía, telecomunicaciones, salud, servicios financieros, entre otros.
Importante: Actualmente se está trabajando en la definición reglamentaria de quiénes serán considerados operadores de importancia vital. Este proceso es clave para que las organizaciones comprendan si estarán sujetas a las obligaciones más estrictas del marco normativo.
Las empresas obligadas deberán implementar sistemas de gestión de seguridad de la información, reportar incidentes significativos a la ANCI, mantener planes de continuidad operacional y estar sujetas a auditorías. Las multas pueden alcanzar hasta 40.000 UTM, lo que convierte a la ciberseguridad en una prioridad estratégica y no solo operativa.
Recomendación práctica: Las organizaciones deben iniciar cuanto antes una autoevaluación de madurez de ciberseguridad, definir su postura ante la ANCI, y estructurar comités de ciberseguridad con representación técnica, legal y ejecutiva. Un hospital público, por ejemplo, deberá desarrollar un plan de continuidad que incluya contingencia ante ciberataques a su red asistencial; mientras que una empresa de transporte privado con servicios digitales deberá prepararse para reportar incidentes y facilitar auditorías si es clasificada como esencial.
Ley 21.719: Hacia una Gobernanza Integral de los Datos Personales
Aunque su entrada en vigencia plena será en diciembre de 2026, esta ley ya plantea desafíos inmediatos. Obliga a las empresas a justificar cada tratamiento de datos, implementar principios de privacidad por diseño y por defecto, notificar brechas, y asegurar mecanismos efectivos para que los titulares ejerzan sus derechos (acceso, rectificación, supresión, etc.).
Introduce además conceptos técnicos como anonimización (procedimiento irreversible donde el dato deja de ser personal) y seudonimización (tratamiento que impide atribuir datos a un titular sin información adicional,), los cuales tendrán exigencias técnicas específicas, a ser detalladas en reglamentos posteriores.
Implicancias para el sector público: Todos los documentos públicos que contengan datos personales, particularmente aquellos utilizados con fines estadísticos, históricos o científicos, deberán ser anonimizados antes de su publicación. La ley establece que los órganos públicos que reciban datos para tratamiento específico sólo podrán conservarlos mientras sea necesario para ese fin. Posteriormente, deberán eliminarlos o anonimizar su contenido, salvo que existan razones legales fundadas para conservarlos.
Plazo clave: Estas obligaciones entran en vigencia el 1 de diciembre de 2026, lo que da un margen limitado para ajustar procedimientos, capacitar al personal y adquirir herramientas de anonimización adecuadas. Por ejemplo, un servicio público que publica datos abiertos deberá asegurarse de que los archivos no incluyan información que pueda identificar directa o indirectamente a personas.
Acción inmediata: Las empresas y organismos públicos deben mapear todos los tratamientos de datos personales que realizan, revisar contratos con proveedores, y comenzar el diseño de sus Modelos de Prevención y Evaluaciones de Impacto (PIAs) para tratamientos sensibles o masivos. Las municipalidades, universidades estatales y ministerios deben avanzar en definir políticas internas de protección de datos que incluyan cláusulas contractuales, protocolos de anonimización y seudonimización, y lineamientos para el rol del Delegado de Protección de Datos.
Conclusión: Cumplimiento, Gobernanza y Cultura Digital
El nuevo marco legal obliga a las empresas a evolucionar desde un enfoque reactivo a uno preventivo, integrando áreas legales, de seguridad informática, tecnología y gestión de riesgos. Las compañías que lideren este proceso tendrán ventajas competitivas: menor exposición a sanciones, mayor confianza de clientes y organismos, y una resiliencia operativa real frente a amenazas digitales.
El cumplimiento ya no es solo un tema de abogados; es una función compartida entre CISOs, CTOs, gerentes legales y comités directivos. Prepararse hoy no solo evita sanciones futuras, sino que define la sostenibilidad del negocio en la era digital chilena.
¿Tu organización está preparada? En Codevsys ayudamos a empresas de todos los tamaños a entender y aplicar estas leyes, diseñar sus políticas, entrenar a sus equipos y fortalecer su seguridad digital. Contáctanos para una evaluación inicial sin costo.