logo

Leyes Ciberseguridad y Datos Chile 2025: Guía para Empresas

5 min de lectura · 08.07.2025

Resumen Ejecutivo

Chile ha implementado un nuevo y robusto marco regulatorio con la Ley Nº 21.663 de Ciberseguridad y la Ley Nº 21.719 de Protección de Datos Personales. Estas leyes, con plazos de implementación que se extienden hasta 2026, exigen a las empresas chilenas, especialmente en sectores como retail, fintech, banca y salud, una adaptación proactiva en su gestión de riesgos, cumplimiento normativo y estrategias de digitalización.

Puntos Clave:

  • Ciberseguridad (Ley 21.663): Obliga a implementar Sistemas de Gestión de Seguridad de la Información (SGSI), designar un Oficial de Ciberseguridad (CISO), y reportar incidentes a la nueva Agencia Nacional de Ciberseguridad (ANCI) bajo plazos estrictos. Las sanciones por incumplimiento son significativas, especialmente para Operadores de Importancia Vital (OIV).
  • Protección de Datos (Ley 21.719): Moderniza la privacidad, alineándose con GDPR. Refuerza los derechos ARCO+P, establece principios estrictos para el tratamiento de datos (licitud, finalidad, consentimiento), y contempla la figura del Delegado de Protección de Datos (DPD). Las multas pueden alcanzar hasta el 4% de la facturación anual global.
  • Impacto Estratégico: Más allá del cumplimiento, estas leyes son un catalizador para la innovación tecnológica, la mejora de la confianza del cliente y la adopción de una cultura de liderazgo ágil y seguridad. La gestión de first-party data se vuelve crucial ante la desaparición de cookies de terceros.
  • Próximos Pasos: Las empresas deben realizar un diagnóstico (gap analysis), establecer una gobernanza adecuada, invertir en tecnología y capacitación, y considerar la asesoría experta para navegar este complejo escenario.

Este artículo profundiza en estas normativas, sus implicaciones y cómo Soho  puede ayudar a las organizaciones a transformar estos desafíos en ventajas competitivas.

El imperativo de la Transformación Digital y el nuevo mandato regulatorio en Chile: Adaptación y cumplimiento

 

Chile se encuentra en un punto de inflexión digital. La reciente promulgación de la Ley Nº 21.663 Marco de Ciberseguridad y la Ley Nº 21.719 de Protección de Datos Personales no son simples actualizaciones legislativas; representan un cambio fundamental en cómo las organizaciones deben operar, proteger su información y relacionarse con sus clientes. Para los tomadores de decisiones en sectores clave como el retail, fintech, finanzas, banca, salud y educación, comprender y adaptarse a este nuevo marco no es solo una obligación, sino una oportunidad estratégica crucial para la transformación digital y la gestión de riesgos empresariales.

Este nuevo entorno regulatorio, sumado a la inminente desaparición de las cookies de terceros, exige una respuesta proactiva. Las empresas que logren navegar esta transformación con éxito no solo evitarán sanciones y riesgos reputacionales, sino que también fortalecerán la confianza del cliente, asegurarán la continuidad operativa y desbloquearán nuevas avenidas de crecimiento sostenible. En Soho, entendemos que este camino requiere una visión integral que abarque desde el Desarrollo seguro y el Diseño UX centrado en la privacidad, hasta la implementación de estrategias de Inteligencia Artificial (IA) y Data éticas, soportadas por infraestructuras Cloud robustas y prácticas DevOps ágiles.

Este artículo es una  guía esencial para desentrañar las complejidades de estas nuevas leyes, identificar los desafíos y, lo más importante, capitalizar las oportunidades que presentan para el futuro digital de su empresa en Chile.

 

La digitalización ha dejado de ser una opción para convertirse en el núcleo de la estrategia empresarial. En Chile, este avance ha impulsado la eficiencia y la innovación tecnológica, pero también ha expandido la superficie de ataque para las ciberamenazas y ha elevado las expectativas de los consumidores en cuanto a la privacidad de sus datos.

Las Leyes 21.663 y 21.719 surgen como respuesta directa a esta realidad. Su implementación es vital para la continuidad y competitividad del negocio, estableciendo las bases para una infraestructura digital nacional más segura y confiable.

“La ciberseguridad y la protección de datos ya no son temas exclusivamente técnicos; son pilares fundamentales de la estrategia de negocio y la confianza del cliente en la era digital.”

La ciberseguridad, definida como la preservación de la confidencialidad, integridad y disponibilidad de los datos, se consagra como un pilar estratégico. Paralelamente, la protección de datos personales se erige como un derecho fundamental, demandando un manejo transparente y responsable de la información individual.

Para los líderes empresariales, esto significa ir más allá del mero cumplimiento normativo. Se trata de fomentar una cultura de seguridad y privacidad, de invertir en tecnología y talento tech, y de ver estas regulaciones como un catalizador para la innovación y la construcción de relaciones más sólidas y confiables con los clientes. La alineación con estándares internacionales, como el GDPR europeo, que estas leyes promueven, también posiciona a las empresas chilenas como socios más fiables en el comercio digital global.

WEF: Explicado: ¿Qué es la confianza digital en la era inteligente?

 

 

Ley Marco de Ciberseguridad (Nº 21.663): Fortaleciendo la resiliencia digital y la gestión de riesgos en Chile

Publicada el 8 de abril de 2024, con entrada en vigor general el 1 de enero de 2025 (y artículos específicos desde el 1 de marzo de 2025), la Ley Marco de Ciberseguridad establece un antes y un después para la seguridad digital en Chile. Su objetivo es claro: asegurar la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos a nivel nacional.

Obligaciones Clave para las Organizaciones bajo la Ley 21.663:

La ley impone responsabilidades directas a las empresas, que van desde la prevención hasta la respuesta:

  1. Sistemas de Gestión de Seguridad de la Información (SGSI):
  • Implementación obligatoria, idealmente alineado con ISO/IEC 27001.
  • Implica: identificación de activos, evaluación de riesgos, implementación de controles y políticas claras.
  • Un enfoque DevSecOps es crucial para integrar la seguridad desde el diseño (security by design).
  1. Oficial de Ciberseguridad (CISO):
  • Designación requerida.
  • Responsable de supervisar la estrategia de ciberseguridad y asegurar el cumplimiento.
  • Debe contar con autoridad y competencia técnica.
  1. Evaluación de Riesgos y Continuidad Operativa:
  • Realización de evaluaciones de riesgo periódicas.
  • Desarrollo de planes de continuidad del negocio y recuperación ante desastres (BCP/DRP).
  • Las soluciones Cloud ofrecen herramientas robustas para la resiliencia.
  1. Capacitación Continua del Talento Tech y General:
  • El factor humano es crítico.
  • Capacitación constante en buenas prácticas de ciberseguridad.
  • Adaptación de programas a cada rol y realización de simulacros.

Operadores de Importancia Vital (OIV): Un Foco Especial y Mayores Exigencias

La ley presta particular atención a los Operadores de Importancia Vital (OIV), entidades que prestan servicios esenciales. Estos incluyen sectores como:

  • Energía
  • Telecomunicaciones
  • Transporte
  • Servicios financieros (banca, medios de pago)
  • Salud (hospitales, clínicas)
  • Infraestructura digital

La Agencia Nacional de Ciberseguridad (ANCI) es la encargada de calificar a los OIV. Estas organizaciones enfrentan deberes más rigurosos.

“Para los OIV, el cumplimiento de la Ley 21.663 no es opcional, es un imperativo para la seguridad nacional y la continuidad de servicios esenciales.”

Reporte de Incidentes: Plazos Críticos y la ANCI

El sistema de reporte de incidentes al CSIRT Nacional (bajo la ANCI) es una transformación clave:

  • Alerta Temprana: Dentro de 3 horas desde la detección.
  • Segundo Reporte: Dentro de 72 horas (o 24 horas si afecta servicios esenciales).
  • Plan de Acción: Dentro de 7 días.
  • Informe Final: Dentro de 15 días.

Estos plazos exigen capacidades de detección y respuesta avanzadas (SIEM, EDR) y una gestión de incidentes eficiente.

La Agencia Nacional de Ciberseguridad (ANCI): El Nuevo Rector de la Ciberseguridad Chilena

Operativa desde el 1 de enero de 2025, la ANCI es un servicio público descentralizado con amplias funciones: fiscalizar, regular, sancionar y promover la cultura de ciberseguridad.

Sanciones por Incumplimiento de la Ley 21.663:

El incumplimiento puede acarrear consecuencias severas:

  • Infracciones Leves: Hasta 5.000 UTM.
  • Infracciones Graves: Hasta 10.000 UTM.
  • Infracciones Gravísimas: Hasta 20.000 UTM.
  • Para los OIV, estas multas pueden duplicarse (hasta 40.000 UTM).

Más allá de lo financiero, el impacto reputacional y las restricciones operativas son considerables.

Soho puede ayudarle a navegar la Ley 21.663 mediante la evaluación de su madurez en ciberseguridad, el diseño e implementación de SGSI, la definición del rol de CISO, la fortificación de su infraestructura Cloud y la adopción de prácticas DevSecOps para un ciclo de vida de desarrollo seguro. Contacto.

 

ciberseguridad equipo

Ley de Protección de Datos Personales (Nº 21.719): Hacia un Estándar Global de Privacidad y Gobernanza de Datos

La Ley 21.719, publicada el 13 de diciembre de 2024 (con adaptación hasta diciembre de 2026), moderniza drásticamente la antigua Ley 19.628, alineando a Chile con estándares como el GDPR europeo. Su objetivo es regular el tratamiento de datos personales, garantizando los derechos y libertades de los individuos, y fomentando una sólida gobernanza de datos.

Principios Fundamentales del Tratamiento de Datos en la Ley 21.719:

Todo tratamiento de datos debe regirse por principios clave:

  1. Licitud: Base legal clara (consentimiento, contrato, etc.).
  2. Finalidad Específica: Fines específicos, legítimos e informados.
  3. Proporcionalidad: Solo datos necesarios (minimización de datos).
  4. Transparencia: Información clara a los titulares. Un Diseño UX transparente es crucial.
  5. Seguridad: Medidas técnicas y organizativas adecuadas. La ciberseguridad robusta es un prerrequisito.
  6. Confidencialidad: Acceso solo a personal autorizado.

El consentimiento debe ser libre, específico, informado e inequívoco. La ley enfatiza la privacidad por defecto y desde el diseño.

Derechos ARCO+P Fortalecidos para los Titulares de Datos:

Los titulares ven sus derechos reforzados: Acceso, Rectificación, Supresión (Cancelación), Oposición y Portabilidad.

“La Ley 21.719 empodera a los ciudadanos chilenos, otorgándoles un control sin precedentes sobre sus datos personales y exigiendo mayor responsabilidad a las empresas.”

El Rol Estratégico del Delegado de Protección de Datos (DPD):

Se introduce la figura del DPD (Data Protection Officer). Aunque no siempre obligatorio, es altamente recomendable para empresas con tratamiento masivo de datos o datos sensibles.

Notificación de Brechas de Datos y la Nueva Agencia de Protección de Datos:

Se establece la obligación de notificar violaciones de seguridad de datos personales a la nueva Agencia de Protección de Datos y, en ciertos casos, a los afectados. Esta agencia tendrá facultades de fiscalización y sanción.

Sanciones por Incumplimiento de la Ley 21.719:

Las multas son significativas:

  • Infracciones Leves: Hasta 500 UTM.
  • Infracciones Graves: Hasta 5.000 UTM.
  • Infracciones Gravísimas: Hasta 20.000 UTM o hasta el 4% de la facturación anual global del grupo empresarial.
Soho te apoya en la adecuación a la Ley 21.719 mediante la definición de estrategias de gobernanza de datos, el diseño de experiencias de usuario (UX) que respeten la privacidad, la implementación de plataformas de Data seguras y conformes, y el desarrollo de soluciones de IA que utilicen los datos de manera ética y legal.

La Convergencia Crítica: Ciberseguridad, Protección de Datos y el Futuro del Marketing Digital con First-Party Data

Es fundamental entender que la Ley 21.663 (Ciberseguridad) y la Ley 21.719 (Protección de Datos) no operan en silos. Una ciberseguridad robusta es la base indispensable para garantizar la protección de datos personales.

Esta convergencia se vuelve aún más crítica al considerar la evolución del marketing digital hacia un futuro sin cookies de terceros. La data de primera fuente (first-party data), recopilada directamente de los usuarios con su consentimiento, se convierte en el activo más valioso.

La recolección, gestión y activación ética y legal de esta first-party data, regulada por la Ley 21.719, será un diferenciador competitivo. Esto exige:

  • Estrategias de Data Unificadas con privacidad desde el origen.
  • Transparencia Absoluta en la recolección y uso de datos.
  • Tecnologías Adecuadas (CDPs, Data Lakes en Cloud).
  • Capacidades Analíticas y de IA responsable para extraer valor.

Más Allá del Cumplimiento: Transformando Desafíos Regulatorios en Oportunidades Estratégicas con Liderazgo Ágil

Si bien el cumplimiento normativo es el primer paso, la verdadera oportunidad para los líderes chilenos radica en ver estas leyes como un motor para la transformación positiva y la adopción de un liderazgo ágil:

  1. Construir Confianza Reforzada: Demostrar compromiso con la seguridad y privacidad gana lealtad.
  2. Asegurar la Resiliencia Operativa: Proteger a la empresa de disrupciones costosas.
  3. Obtener Ventaja Competitiva: Atraer inversiones e innovar de forma responsable.
  4. Impulsar la Innovación Responsable: Desarrollar nuevos productos y servicios con privacidad “por diseño”.

El Rol de la Tecnología, la Automatización y la Expertise Especializada:

Adaptarse a este nuevo paradigma requiere una combinación de estrategia, procesos, automatización y tecnología. Aquí es donde la experiencia de un socio como Soho se vuelve crucial:

  • Desarrollo Seguro (DevSecOps): Seguridad integrada en el ciclo de vida del software.
  • Diseño UX Centrado en la Privacidad: Interfaces intuitivas y transparentes.
  • Inteligencia Artificial y Data Ética: Soluciones de IA que respeten la privacidad.
  • Soluciones Cloud Seguras: Agilidad y escalabilidad con seguridad robusta.
  • Prácticas DevOps y Automatización: Mejorar la postura de seguridad y agilizar la respuesta.

Hoja de Ruta Hacia la Adaptación: Pasos Prácticos para Empresas Chilenas

Navegar este nuevo panorama requiere un plan claro. Considere los siguientes pasos:

  1. Diagnóstico y Evaluación (Gap Analysis):
  • Evalúe su postura actual frente a ambas leyes.
  • Identifique brechas en políticas, procesos, tecnologías y capacitación.
  • Clasifique activos de información y evalúe riesgos.
  1. Establecer la Gobernanza Adecuada:
  • Defina roles clave: CISO y, si aplica, DPD.
  • Establezca políticas claras.
  • Involucre a la alta dirección y fomente una cultura de seguridad.
  1. Inversión en Tecnología y Procesos:
  • Implemente o actualice su SGSI.
  • Adopte herramientas de seguridad y automatización.
  • Revise procesos para gestión de consentimientos, derechos ARCO+P y reporte de incidentes.
  1. Capacitación y Concienciación del Talento Tech y General:
  • Desarrolle programas de capacitación continua.
  • Realice simulacros.
  1. Revisión de Contratos y Terceros:
  • Asegure el cumplimiento de proveedores.
  1. Plan de Respuesta a Incidentes:
  • Desarrolle y pruebe su plan de respuesta.
  1. Busque Asesoría Experta:
  • Un socio con experiencia puede acelerar su adaptación. 

El Futuro es Ahora para las Empresas Chilenas – Innovación Tecnológica y Cumplimiento

Las Leyes de Ciberseguridad y Protección de Datos Personales marcan el inicio de una nueva era para las empresas en Chile. Lejos de ser una carga, representan una oportunidad para fortalecerse, fomentar la innovación tecnológica y construir un futuro digital más seguro y confiable. La adaptación proactiva, la inversión inteligente y la elección de los socios tecnológicos adecuados serán determinantes para el éxito.

 

 

En Soho, estamos listos para acompañarte en este viaje, ayudándote a transformar los desafíos regulatorios en cimientos sólidos para tu crecimiento y liderazgo en la economía digital chilena.

¿Está tu empresa preparada para este nuevo escenario?

Navegar el complejo entorno de las nuevas leyes de ciberseguridad y protección de datos en Chile requiere conocimiento especializado y una estrategia clara.

Créditos

  • Joaquin Trujillo

    Head of Growth

    Con más de 14 años de experiencia en proyectos en Customer Experience, estrategias Data-Driven y Marketing Digital, actualmente se desempeña como líder en el servicio de mantenimiento evolutivo de plataformas digitales en Soho. Desde este rol, encabeza proyectos estratégicos orientados a la mejora continua de sitios web, e-commerce y apps, integrando analítica avanzada, CRO, estrategia digital y automatización, con foco en resultados medibles para los negocios. Ha participado activamente en el proceso de madurez y preparación de empresas frente a la nueva Ley de Protección de Datos Personales en Chile, asesorando a equipos y clientes en el diseño de estrategias de cumplimiento y adaptación organizacional, y realizando clases sobre el tema en programas ejecutivos. Su enfoque combina una visión técnica, ética y de experiencia de cliente frente a este nuevo marco regulatorio. Además, es docente y relator en programas de formación ejecutiva en Innovación, CX, Protección de Datos y Marketing Digital, colaborando con diversas universidades en Chile y Latinoamérica.

Lo último en Noticias & eventos

paseo cognitivo

Diseño, UX

25.06.2025

Paseo Cognitivo y Análisis de Flujo de Tareas: Un Dúo Poderoso para Optimizar la Experiencia del Usuario (UX)

Resumen Ejecutivo En el dinámico mundo de los productos digitales, la clave del éxito reside en una experiencia de usuario (UX) impecable. Este artículo explora cómo la combinación del Paseo Cognitivo —una técnica cualitativa para identificar fricciones— y el Análisis de Flujo de Tareas —una metodología cuantitativa para medir el esfuerzo del usuario— se convierte […]

open-finance-interaction

artículo, Innovación

24.06.2025

Open Finance: La Guía Definitiva para la Transformación Financiera de tu Empresa

Resumen ejecutivo: Open Finance es mucho más que una tendencia tecnológica; es el siguiente paradigma en la evolución de los servicios financieros. Superando los límites del Open Banking, este modelo habilita un ecosistema donde los datos financieros de los usuarios (banca, seguros, inversiones, pensiones y más) pueden ser compartidos de forma segura y consensuada a […]

artículo, Diseño, IA, Innovación, TI, UX

10.06.2025

CX: Omnicanalidad vs. Multicanalidad –
Claves para una Experiencia de Cliente exitosa

Resumen Ejecutivo: En un mercado saturado, la experiencia del cliente (CX) es el diferenciador clave. Muchas empresas confunden multicanalidad con omnicanalidad, invirtiendo en tecnología sin abordar el verdadero desafío: el factor humano y organizacional. Este artículo desglosa la distinción crucial entre ambos conceptos y ofrece estrategias prácticas para una transformación exitosa hacia una CX unificada, […]

artículo, Innovación, Staffing

26.05.2025

Transformar el Liderazgo Digital: Estrategias para Equipos de Alto Rendimiento en 2025

Resumen Ejecutivo: Repensando el Liderazgo Digital En un entorno empresarial impulsado por la transformación digital y caracterizado por equipos distribuidos y ciclos de entrega acelerados, el modelo de liderazgo tradicional basado en la jerarquía muestra signos de obsolescencia. Este artículo inspirado en la conversación con Mónica Maltzman en el episodio 90 de nuestro podcast Digital […]

Servicios

Qué ofrecemos

Contacto

¿Tienes un proyecto?
Conversemos
To top