El nuevo paradigma de datos y ciberseguridad en Chile
- Esteban Olivares
- hace 1 día
- 10 Min. de lectura
De la obligatoriedad legal a la ventaja competitiva
Por qué este documento, y por qué ahora
Si usted lidera tecnología, riesgo, cumplimiento o un negocio que trata con datos de personas [en Chile], el calendario regulatorio dejó de ser una conversación abstracta. El 1 de marzo de 2025 entraron en vigencia las disposiciones sustantivas y el régimen sancionatorio de la Ley 21.663, Marco de Ciberseguridad. El 1 de diciembre de 2026 lo hará la Ley 21.719, que sustituye íntegramente la antigua ley de protección de la vida privada. Ambas leyes redefinen cómo se protegen los datos personales y cómo se asegura la continuidad digital de los servicios críticos del país.
Este blog está pensado como una conversación con directorios, comités ejecutivos, CISOs y líderes de cumplimiento. No buscamos resumir las leyes —para eso están sus textos oficiales—; buscamos entregar un mapa accionable para saber:
qué aplica a su organización,
dónde verificar si es OIV,
qué instituciones intervienen,
por dónde partir y, sobre todo,
cómo transformar la obligación normativa en una capacidad real de defensa y diferenciación de marca.
Como equipo dedicado a ciberseguridad, vemos a diario la diferencia entre quienes cumplen "en el papel" y quienes construyen una postura de seguridad genuina. En esa diferencia esta el valor, cuando hay un incidente.
1. Dos leyes, una misma exigencia: actuar con evidencia
Chile adoptó un modelo dual que conviene leer en conjunto. La Ley 21.719 trata el dato personal como un derecho del titular y obliga al responsable a probar que lo cuida. La Ley 21.663 trata la red, el sistema y la información como infraestructura del país y obliga a sostener su continuidad. Donde se cruzan, las exigencias se refuerzan: una brecha que afecte datos personales en una organización OIV detonará simultáneamente notificaciones a la APDP, a la ANCI y a los titulares afectados, con plazos cortos y régimen sancionatorio acumulable.
DIMENSIÓN | Ley 21.719 — Protección de Datos | Ley 21.663 — Marco de Ciberseguridad |
Foco | Tratamiento legítimo y seguro de datos personales (clientes, trabajadores, proveedores). | Continuidad operacional y resiliencia digital de servicios críticos del país. |
Autoridad | Agencia de Protección de Datos Personales (APDP). | Agencia Nacional de Ciberseguridad (ANCI) y red de CSIRT sectoriales. |
Sujetos obligados | Toda organización pública o privada que trate datos personales en Chile, sin importar su tamaño. | Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV). |
Vigencia clave | Plena vigencia: 1 de diciembre de 2026. | Disposiciones sustantivas y régimen sancionatorio: vigentes desde el 1 de marzo de 2025. |
Multa máxima | Hasta 20.000 UTM o 4% de los ingresos anuales (infracción gravísima). | Hasta 40.000 UTM (≈ USD 3 millones) para OIV en infracciones gravísimas. |
Lectura ejecutiva | Si su organización maneja datos de personas, esta ley le aplica. | Si su servicio es crítico para el país, podría ser calificado OIV con deberes reforzados. |
La conclusión ejecutiva es clara: Ambos cuerpos normativos fiscalizan evidencia, no buenas intenciones. Políticas firmadas y olvidadas no son cumplimiento; son riesgo documentado por escrito.
2. Sectores y rubros con mayor aplicabilidad y exigencia
La Ley 21.719 aplica a toda organización pública o privada que trate datos personales en Chile, sin importar tamaño. La Ley 21.663 incorpora un anillo más estricto sobre Servicios Esenciales y, dentro de ellos, sobre los Operadores de Importancia Vital. La superposición de ambas leyes determina la intensidad real del esfuerzo de cumplimiento por sector.
SECTOR / RUBRO | Razón de criticidad | Marco que aplica | Nivel de exigencia |
Banca, financiero y medios de pago | Datos sensibles, riesgo sistémico, fraude, regulación CMF. | 21.719 + 21.663 (OIV) | Muy alto |
Salud (clínicas, hospitales, laboratorios, isapres) | Datos personales sensibles por excelencia (ficha clínica, biometría). | 21.719 + 21.663 (OIV) | Muy alto |
Telecomunicaciones e ISP | Conectividad país, metadatos, geolocalización, tráfico personal. | 21.719 + 21.663 (OIV) | Muy alto |
Energía eléctrica, combustibles, agua y saneamiento | Infraestructura crítica nacional, OT/ICS, efecto cascada. | 21.663 (OIV) + 21.719 | Muy alto |
Servicios digitales, data centers, cloud, software, MSP | Eslabón de la cadena de suministro de cientos de OIV. | 21.719 + 21.663 (OIV directo o por relacion/dependencia) | Alto / Muy alto |
Retail, e-commerce y consumo masivo | Grandes volúmenes de datos de clientes, programas de fidelización, perfilamiento. | 21.719 | Alto |
Educación (colegios, universidades, e-learning) | Datos de menores, antecedentes académicos y de salud, biometría de acceso. | 21.719 | Alto |
Transporte y logística (terrestre, aéreo, marítimo) | Cadena de abastecimiento país; segunda fase OIV (abril 2026). | 21.663 (OIV preliminar) + 21.719 | Alto |
Inmobiliario, seguros y servicios profesionales | Bases extensas de prospectos, contratos, datos financieros, fuentes digitales. | 21.719 | Medio / Alto |
Sector público y municipalidades | Datos masivos de ciudadanos, interoperabilidad estatal, alta exposición pública. | 21.719 + 21.663 (varios OIV ya designados) | Muy alto |
Pymes en general | La ley no las exime; aplica conforme al tratamiento de datos que realicen. | 21.719 | Variable según riesgo |
Lectura clave: Los proveedores tecnológicos (cloud, MSP/MSSP, software, integradores) están en una posición especialmente delicada. Aunque no figuren directamente en la nómina OIV, sus clientes OIV trasladarán contractualmente sus exigencias de seguridad a la cadena de suministro. Cumplir bien deja de ser una opción: pasa a ser un requisito técnico y comercial.
3. ¿Qué significa OIV y cómo verificar si su organización lo es?
OIV en una frase
Operador de Importancia Vital (OIV) es la calificación que la Agencia Nacional de Ciberseguridad (ANCI) otorga, mediante resolución fundada, a aquellas instituciones públicas o privadas cuyos servicios dependen de redes y sistemas informáticos y cuya afectación, interrupción o destrucción tendría un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el funcionamiento del Estado o, en general, en los servicios que el Estado debe garantizar.
No es un sello de calidad ni una etiqueta comercial. Es una condición regulatoria que activa un régimen reforzado de obligaciones y, en caso de incumplimiento, sanciones de hasta 40.000 UTM (aproximadamente USD 3 millones).
Estado actual de la calificación OIV en Chile
Primera nómina final publicada el 17 de diciembre de 2025 (Resolución Exenta N° 87 de ANCI): 915 instituciones declaradas OIV en siete sectores estratégicos.
Distribución por sector: 147 empresas eléctricas; 29 de telecomunicaciones; 413 de servicios digitales, infraestructura digital y servicios TI; 34 instituciones bancarias, financieras y de medios de pago; 114 prestadores de salud; más empresas públicas y organismos de la Administración del Estado.
Segunda fase iniciada en abril de 2026: 372 organizaciones preliminarmente calificadas en transporte, agua y saneamiento, combustibles, seguridad social, entre otros. La nómina se revisa y actualiza cada tres años.
Cómo verificar si su organización es (o podría llegar a ser) OIV
Revise la nómina oficial. La Resolución Exenta N° 87 de la ANCI fue publicada en el Diario Oficial (CVE 2743431, 17 de diciembre de 2025). El texto está disponible en el sitio institucional de la ANCI.
Acceda al portal oficial de la ANCI: https://www.anci.gob.cl y a su portal de procedimientos https://portal.anci.gob.cl, donde se publican nóminas preliminares, definitivas y los procesos de consulta pública abiertos.
Consulte el Diario Oficial (https://www.diariooficial.interior.gob.cl). Cada nómina, preliminar o definitiva, se publica formalmente allí.
Si la organización no aparece, evalúe con sus reguladores sectoriales (CMF, SEC, CNE, Subtel, Superintendencia de Salud, entre otros) cuáles serán los criterios y cronograma para próximas fases. La calificación se renueva cada tres años y los sectores de la segunda etapa están en proceso.
Aun si su organización no figura, identifique si presta servicios críticos a un OIV (TI, cloud, software, soporte, conectividad, operación). En ese escenario, las exigencias llegarán a usted vía contrato y due diligence, no por designación directa.
Recomendación práctica: documente el análisis. Tener por escrito por qué su organización es o no es OIV, con quién se contrastó la información y a qué reguladores se consultó, será uno de los primeros antecedentes que solicite cualquier auditor, asegurador cibernético o cliente corporativo.
4. Las instituciones y su estructura de servicios
Entender qué entidad hace qué, evita pérdida de tiempo y errores de notificación en situaciones criticas. La nueva arquitectura institucional combina autoridades nuevas (APDP, ANCI), autoridades técnicas con función de respuesta (CSIRT) y reguladores sectoriales preexistentes que conservan sus competencias.
INSTITUCIÓN | Rol | Servicios o productos a la organización |
APDP — Agencia de Protección de Datos Personales | Autoridad creada por la Ley 21.719. Fiscaliza, interpreta y sanciona el tratamiento de datos personales. | Recepción de notificaciones de brechas, registro nacional de cumplimiento, guías y modelos de prevención de infracciones, conocimiento de reclamos de titulares. |
ANCI — Agencia Nacional de Ciberseguridad | Autoridad técnica de la Ley 21.663. Califica OIV, dicta estándares y fiscaliza. | Plataforma de reporte de incidentes (24/7), nóminas oficiales OIV, reglamentos técnicos, lineamientos de SGSI y planes de continuidad. |
CSIRT Nacional | Equipo nacional de respuesta a incidentes, dependiente de ANCI. | Recibe alertas tempranas, coordina contención, distribuye indicadores de compromiso (IoC) y alertas sectoriales. |
CSIRT sectoriales | CSIRT especializados por sector regulado (financiero, energía, salud, defensa, gobierno). | Mesa técnica especializada, coordinación regulatoria, intercambio de inteligencia entre pares del rubro. |
Reguladores sectoriales (CMF, SEC, SBS, Subtel, Superintendencia de Salud, etc.) | Acompañan a la ANCI en la calificación OIV de su sector y mantienen sus normativas técnicas propias. | Estándares previos vigentes (RAN, NCh-ISO, normas técnicas Subtel, etc.) que conviven con la nueva regulación. |
Ministerio del Interior y Seguridad Pública | Cartera de la cual depende ANCI; responsable de la política nacional de ciberseguridad. | Reglamentos (DS N° 285/2024 sobre calificación OIV, política nacional, decretos técnicos asociados). |
Mapa conceptual: cómo se relacionan
MARCO REGULATORIO CHILENO 2026 — VISIÓN INTEGRADA |
ESTADO DE CHILE ▼ Ley 21.719 (Protección de Datos) Ley 21.663 (Marco de Ciberseguridad) ▼ ▼ APDP ANCI + CSIRT ▼ ▼ Toda organización que trate datos personales Servicios Esenciales (PSE) — subconjunto: Operadores de Importancia Vital (OIV) ▼ Obligaciones convergentes: gobernanza · controles técnicos · notificación de incidentes · evidencia auditable |
Como muestra el esquema, una empresa privada puede estar simultáneamente bajo la APDP por sus tratamientos de datos personales y bajo la ANCI por su rol crítico. La gobernanza interna debe reflejar esa doble dependencia: el DPO y el Delegado de Ciberseguridad deben coordinarse, no operar como islas.
5. Régimen sancionatorio comparado
El siguiente cuadro consolida las multas de ambos cuerpos normativos. La lectura conjunta es importante: un mismo incidente —por ejemplo, una fuga de datos en un OIV— puede generar exposición simultánea bajo las dos leyes.
CATEGORÍA | Ley 21.719 (Protección de Datos) | Ley 21.663 (Ciberseguridad / OIV) |
Leve | Hasta 5.000 UTM | Hasta 5.000 UTM (10.000 UTM si es OIV) |
Grave | Hasta 10.000 UTM | Hasta 10.000 UTM (20.000 UTM si es OIV) |
Gravísima | Hasta 20.000 UTM o 4% de los ingresos anuales por reincidencia. | Hasta 20.000 UTM (40.000 UTM si es OIV). |
Una pyme en su primer año de vigencia (diciembre 2026 – diciembre 2027) está sujeta a amonestación bajo la Ley 21.719, no a multa, lo que ofrece una ventana real para adecuarse. Esta ventana, sin embargo, no aplica a empresas medianas y grandes ni a la Ley 21.663, que ya está plenamente vigente.
6. Roadmap express: 180 días de acciones concretas
La pregunta que recibimos con más frecuencia es "¿por dónde partimos?". El siguiente roadmap ordena las prioridades en cinco fases secuenciales. Está pensado para una organización mediana o grande con un nivel de madurez intermedio; se adapta acelerando o profundizando según el caso.
FASE | Acciones clave | Resultado esperado |
0–30 días Descubrir | • Inventario de datos personales y de activos críticos. • Mapa de flujos: dónde nacen los datos, quién los procesa, con qué proveedor se comparten. • Verificación de calificación OIV propia y de proveedores clave. • Gap assessment frente a Ley 21.719 y Ley 21.663. | Radiografía honesta del punto de partida y un caso ejecutivo con riesgo, multa potencial y prioridades. |
31–60 días Gobernar | • Designación formal del Delegado de Protección de Datos (DPO) y, si aplica, del Delegado de Ciberseguridad. • Modelo de Prevención de Infracciones y Política de Privacidad alineada a la nueva ley. • Registro de Actividades de Tratamiento y bases de licitud documentadas. • Revisión y firma de DPA con proveedores críticos (cloud, MSP, BPO). | Estructura de gobernanza con responsables, evidencia documental y contratos en regla. |
61–120 días Proteger | • Implementación de controles técnicos: cifrado, MFA, segmentación, gestión de identidades, DLP. • Despliegue / fortalecimiento de SGSI alineado a ISO/IEC 27001 y NIST CSF. • Monitoreo continuo (SIEM/XDR/MDR) y backups con pruebas de restauración. • Evaluaciones de impacto en privacidad (DPIA) en tratamientos de alto riesgo. | Capacidad real de prevenir, detectar y contener incidentes; controles auditables. |
121–180 días Responder | • Plan de respuesta a incidentes con playbooks; procedimiento de notificación a la APDP, ANCI y titulares. • Tabletop y simulacros end-to-end (ransomware, fuga de datos, falla de proveedor crítico). • Capacitación obligatoria por rol y campañas de phishing. • Plan de continuidad operacional con foco en ciberseguridad (exigido a OIV). | Equipo entrenado para responder en horas, no semanas; evidencia de capacidad demostrada. |
180+ días Madurar | • Auditorías internas y externas, certificación ISO 27001 cuando aplique. • Métricas y KPIs de privacidad y ciberseguridad reportados al directorio. • Mejora continua basada en lecciones aprendidas y ejercicios de Red Team. • Gestión de terceros (TPRM) embebida en compras y procurement. | Cumplimiento sostenible, auditable y convertido en ventaja competitiva. |
Quick win recomendado para esta semana: convoque una reunión con Legal, TI y Compliance, fije al 1 de diciembre de 2026 como milestone fijo en el plan corporativo, y nombre formalmente a un dueño del proyecto. Sin un dueño con autoridad y presupuesto, ningún roadmap se ejecuta.
7. Más allá del cumplimiento: fortalecer la ciberseguridad de verdad
Cumplir la ley es necesario, pero insuficiente. El cumplimiento documental sin capacidad operativa real es la combinación más cara que existe: paga el costo del proyecto, pero igualmente sufre el incidente.
Estos son los siete frentes donde recomendamos invertir tiempo y presupuesto para construir una postura sólida.
Visibilidad real, no inventarios de planilla. Descubrimiento continuo de activos, datos y sombra de TI. No se protege lo que no se ve.
La visibilidad permanente se obtiene mediante un SOC/CSOC 24x7 que concentre, correlacione y analice de manera automática y manual toda la información relevante de la infraestructura informática, bajo la supervisión constante de especialistas con experiencia comprobada.
Identidad como nuevo perímetro. MFA universal, gestión de privilegios (PAM), revisión periódica de accesos y eliminación oportuna de cuentas inactivas.
Detección y respuesta gestionada. SIEM, EDR/XDR o un servicio MDR. Detectar en horas, no en semanas, es lo que separa un susto de una crisis pública.
Resiliencia ante ransomware. Backups inmutables, segregados, cifrados y con pruebas de restauración periódicas. RTO/RPO definidos por proceso de negocio.
Gestión de proveedores (TPRM). Cláusulas de seguridad, deber de notificación, evidencia de controles, derecho de auditoría. La cadena de suministro es hoy el vector más explotado.
Privacidad por diseño y por defecto. Minimización del dato, retención acotada, evaluaciones de impacto en privacidad (DPIA) integradas a los proyectos desde su origen.
Cultura y simulación. Phishing simulado, capacitación por rol y, sobre todo, ejercicios de mesa con la alta dirección. La primera vez que se prueba un plan no debe ser durante un incidente.
Una postura de seguridad madura genera retornos concretos: menor prima de ciberseguro, ciclos comerciales más cortos con clientes corporativos, mejores condiciones financieras, y resistencia genuina a incidentes que paralizan a competidores.
La decisión es de gestión, no solo de cumplimiento
La Ley 21.719 y la Ley 21.663 no son un trámite. Son la formalización de una expectativa que el mercado, los clientes y la sociedad ya tenían: que las organizaciones que custodian datos y operan servicios críticos lo hagan bien, lo prueben y rindan cuentas cuando algo falla.
Las empresas que aborden este desafío como una oportunidad de modernización —y no como un costo a minimizar— van a llegar a diciembre de 2026 con una infraestructura más segura, procesos más ordenados, mejor reputación y una ventaja competitiva difícil de igualar. Las que esperen al último trimestre llegarán tarde y caro.
Como equipo de ciberseguridad, acompañamos a organizaciones de distintos tamaños y rubros en el camino completo: desde el diagnóstico inicial y la verificación OIV, pasando por el diseño de gobernanza, la implementación de controles técnicos, hasta la operación continua de monitoreo, respuesta y simulacros. Si quiere transformar este reto regulatorio en una capacidad real, conversemos.
Próximo paso: Agendemos una sesión ejecutiva de 30 minutos, donde abordar las exigencias legales y diseñar juntos una hoja de ruta priorizada según la industria y negocio particular. Con resultados concretos al cierre de la reunión.
correo electrónico: soluciones@pretorian-ti.com
wsp: +569 5799 7501
.png)
Comentarios