Las empresas chilenas enfrentan un escenario regulatorio exigente tras la entrada en vigor de nuevas obligaciones derivadas de la Ley Marco de Ciberseguridad y la próxima implementación de la Ley de Protección de Datos Personales.
Durante junio se cumplió uno de los primeros hitos de la Ley 21.663, que obligó a los Operadores de Importancia Vital (OIV) a acreditar ante la Agencia Nacional de Ciberseguridad (ANCI) el cumplimiento de los estándares establecidos por la normativa.
La resolución considera 915 organizaciones públicas y privadas de sectores estratégicos como energía, telecomunicaciones, banca, salud y organismos del Estado, las que deben implementar sistemas de gestión de seguridad, garantizar la continuidad operacional y reportar incidentes relevantes en un plazo máximo de tres horas.
El incumplimiento de estas obligaciones puede derivar en multas de hasta 40.000 UTM, equivalentes a más de $2.800 millones.
Nuevo desafío desde diciembre
A este escenario se sumará la entrada en vigencia, el próximo 1 de diciembre de 2026, de la Ley de Protección de Datos Personales (21.719), que incorporará nuevas obligaciones relacionadas con la gobernanza de datos, la gestión de riesgos y la respuesta ante incidentes que involucren información personal.
Según la empresa tecnológica TIVIT, abordar ambas normativas como procesos independientes puede traducirse en mayores costos, duplicación de esfuerzos y una complejidad innecesaria para las organizaciones. Para Pablo García, BDM Cyber de TIVIT Latam, ambas regulaciones deben abordarse de manera conjunta.
Las principales brechas detectadas
TIVIT identificó tres desafíos recurrentes en las organizaciones durante los procesos de adecuación:
- Sistemas de seguridad que existen solo a nivel documental y no han sido probados.
- Escasa visibilidad sobre los datos personales que recopilan y administran.
- Dificultades para detectar y reportar incidentes dentro de los plazos exigidos por la normativa.
