El dolor de cabeza de las empresas chilenas: Dos nuevas leyes y sanciones que superan los $2.800 millones

El calendario regulatorio avanza de forma implacable para las organizaciones chilenas. Este mes se cumplió uno de los primeros hitos de la Ley Marco de Ciberseguridad (Ley 21.663), obligando a los Operadores de Importancia Vital (OIV) (entidades públicas y privadas críticas para el país) a acreditar ante la Agencia Nacional de Ciberseguridad (ANCI) el cumplimiento de sus nuevas obligaciones de seguridad digital.

La nómina definitiva, fijada mediante la Resolución Exenta N°87 de la ANCI, abarca a 915 organizaciones de sectores estratégicos como energía, telecomunicaciones, banca, salud y organismos estatales.

Revisa también

• Tras una década de historia: conocida empresa chilena anuncia su quiebra
• Muere Ronald Bown, histórico empresario chileno y líder clave de la industria frutícola

Estas entidades enfrentan exigencias reforzadas que incluyen sistemas formales de gestión de seguridad de la información, capacidades de continuidad operacional y el deber de reportar incidentes significativos en un plazo máximo de tres horas. El panorama es severo: las infracciones pueden derivar en multas que alcanzan las 40.000 UTM, equivalentes hoy a más de $2.800 millones.

De acuerdo con TIVIT, compañía especializada en servicios de ciberseguridad, nube y transformación digital, el verdadero dolor de cabeza para el ecosistema empresarial radica en que la adecuación a esta normativa coincide con un segundo hito regulatorio crítico: la Ley de Protección de Datos Personales (Ley 21.719), que entra en vigencia total el próximo 1 de diciembre de 2026.

Esta última incorporará estrictas obligaciones de gobernanza de datos, trazabilidad de la información, gestión de riesgos y planes de respuesta ante filtraciones.

En términos prácticos, las gerencias chilenas estarán gestionando dos transformaciones legales mayúsculas y profundamente interconectadas en un lapso inferior a un semestre. El gran peligro, advierten los analistas, es tratarlas como proyectos independientes.

“Ambas normativas parten de una premisa clara: la responsabilidad ya no se delega, se gestiona. Las organizaciones que aborden la privacidad de los datos y la ciberseguridad como un único modelo de gobierno corporativo serán las que lleguen mejor preparadas a la vigencia de la ley y eviten sobrecostos en los próximos meses”, explica Pablo García, BDM Cyber de TIVIT Latam.

Las 3 grandes grietas que revela el mercado

La urgencia del cumplimiento normativo ha desnudado deficiencias operacionales transversales en el sector público y privado. TIVIT identifica tres brechas recurrentes que las organizaciones deben mitigar de inmediato:

• Seguridad de “papel”: Sistemas de gestión que están impecablemente documentados, pero que jamás han sido puestos a prueba mediante simulaciones o ejercicios reales.
• Puntos ciegos de información: Una alarmante falta de visibilidad corporativa sobre qué datos personales se están recolectando, en qué servidores se almacenan y qué colaboradores tienen acceso a ellos.
• Monitoreo lento: Capacidades deficientes de detección y respuesta ante ataques que hacen inviable cumplir con las estrictas ventanas de notificación exigidas por las autoridades.

Dado que tanto la ley de ciberseguridad como la de protección de datos exigen planes robustos frente a crisis y protección de activos críticos, la desconexión interna puede ser letal para las finanzas de las firmas locales.

“Notificar un incidente crítico en tres horas es operativamente imposible si ciberseguridad y protección de datos no hablan el mismo lenguaje. Establecer un modelo de gobierno que genere convergencia entre ambas áreas ya no es solo una buena práctica, sino la única forma de operar con resiliencia y eficiencia”, concluye García.

Ante este escenario, la integración inmediata de datos, riesgos y ciberseguridad se alza como el examen definitivo del año para el empresariado nacional.