Establece la nueva institucionalidad (ANCI y CSIRT Nacional) y la normativa general para regular y coordinar las acciones de ciberseguridad, siendo obligatoria tanto para organismos del Estado como para determinadas instituciones privadas. Define los requisitos mínimos para la prevención, gestión, y respuesta a incidentes, exigiendo planes y estándares que su organización debe cumplir.
Leer másLa Ley 21.719 de Chile, publicada el 13 de diciembre de 2024, establece un nuevo y amplio marco regulatorio para la protección y el tratamiento de los datos personales de las personas naturales. Esta normativa crea la Agencia de Protección de Datos Personales (Agencia), ente autónomo encargado de fiscalizar los deberes de licitud y seguridad de los responsables del tratamiento, y de velar por los derechos de los titulares, incluyendo Acceso, Rectificación y Portabilidad. Esta ley entrará en vigencia el 1 de diciembre de 2026.
Leer másLos estándares internacionales ISO/IEC 27001 y 27701 proporcionan el marco técnico esencial para operativizar el cumplimiento de las Leyes 21.663 y 21.719. Estas normas establecen los requisitos para implementar Sistemas de Gestión de Seguridad (SGSI) y Privacidad (SGIP), permitiendo a las organizaciones gestionar riesgos, aplicar controles robustos y acreditar la debida diligencia ante las nuevas autoridades fiscalizadoras de Chile.
Leer másLa Ley Marco de Ciberseguridad (Ley N° 21.663), promulgada en abril de 2024, tiene como objetivo principal estructurar y regular las acciones de ciberseguridad en Chile, estableciendo los requisitos mínimos de prevención, contención y respuesta a incidentes. Esta ley crea la Agencia Nacional de Ciberseguridad (ANCI), un servicio público técnico y especializado que tiene la atribución de dictar protocolos y estándares de carácter obligatorio para el cumplimiento normativo, y el CSIRT Nacional (Equipo Nacional de Respuesta a Incidentes de Seguridad Informática), responsable de coordinar la respuesta ante ciberataques significativos y de recibir los reportes obligatorios.
La normativa es aplicable a todos los organismos del Estado y a aquellas instituciones privadas calificadas por la ANCI como Servicios Esenciales u Operadores de Importancia Vital (OIV). Los OIV, en particular, tienen deberes específicos rigurosos, incluyendo la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) continuo y la elaboración de planes de continuidad operacional y ciberseguridad que deben ser certificados.
Un elemento central y urgente para la gestión de riesgos es el deber de reportar ciberataques o incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT Nacional, con una alerta temprana requerida en un plazo máximo de tres horas desde el conocimiento del evento. El incumplimiento de estas obligaciones puede resultar en la imposición de multas a beneficio fiscal que, en casos de infracciones gravísimas, pueden alcanzar hasta las 40.000 unidades tributarias mensuales para un Operador de Importancia Vital.
La Ley 21.719 de Chile, publicada el 13 de diciembre de 2024, establece un nuevo y amplio marco legal destinado a regular la forma y condiciones en que se efectúa el tratamiento y protección de los datos personales de las personas naturales, con un ámbito de aplicación que puede ser extraterritorial si las operaciones buscan ofrecer bienes o servicios a titulares en Chile o monitorear su comportamiento. Esta ley crea la Agencia de Protección de Datos Personales (Agencia), un cuerpo autónomo y técnico de derecho público encargado de interpretar, fiscalizar y ejercer la potestad sancionadora sobre el tratamiento de datos.
Todo tratamiento debe adherirse a principios fundamentales como licitud, finalidad, proporcionalidad (limitando la conservación de datos al tiempo necesario) y seguridad (aplicando medidas técnicas y organizativas adecuadas, como la seudonimización y el cifrado), además de aplicar el deber de Protección desde el Diseño y por Defecto.
La ley otorga a los titulares de datos derechos personales e irrenunciables, como el Acceso, Rectificación, Supresión, Oposición y Portabilidad, y exige que los responsables reporten a la Agencia cualquier vulneración de seguridad que implique un riesgo razonable para los derechos de los titulares.
El incumplimiento de estas obligaciones se clasifica en infracciones leves (multa de hasta 5.000 UTM), graves (hasta 10.000 UTM) o gravísimas (hasta 20.000 UTM), pudiendo escalar a un porcentaje de los ingresos anuales en casos de reincidencia por parte de empresas grandes. Esta legislación fundamental entrará en vigencia el 1 de diciembre de 2026.
Los estándares internacionales de la serie ISO/IEC constituyen el marco técnico y metodológico fundamental para operativizar y acreditar el cumplimiento de las obligaciones establecidas en las Leyes 21.663 y 21.719. Específicamente, la norma ISO/IEC 27001 es el pilar para los Operadores de Importancia Vital (OIV) y Servicios Esenciales, ya que define los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Este estándar permite gestionar sistemáticamente los riesgos sobre los activos críticos, garantizando la confidencialidad, integridad y disponibilidad de la información, alineándose directamente con los protocolos técnicos que dictará la Agencia Nacional de Ciberseguridad (ANCI).
Como complemento indispensable, la norma ISO/IEC 27701 actúa como una extensión de privacidad, estableciendo un Sistema de Gestión de Información de Privacidad (SGIP). Esta norma es la herramienta idónea para que los responsables y encargados del tratamiento demuestren el cumplimiento del deber de seguridad y la gestión de los derechos de los titulares exigidos por la Ley de Protección de Datos Personales.
Su implementación facilita la aplicación efectiva de la "privacidad desde el diseño y por defecto", asegurando que el tratamiento de datos personales se ajuste a los principios de licitud y transparencia.
La adopción conjunta de estos estándares certificables no solo estructura la defensa ante amenazas digitales, sino que funciona como un mecanismo de "debida diligencia" comprobable ante fiscalizaciones. Al basar la estrategia en normas reconocidas globalmente, las organizaciones pueden acreditar proactividad ante las autoridades competentes, mitigando significativamente el riesgo operacional y la exposición a las infracciones graves o gravísimas y sus respectivas sanciones económicas.