Buscar

Dos leyes, menos de seis meses y más de $2.800 millones en sanciones: El desafío regulatorio que enfrentan las empresas

Con una trayectoria cercana a los cien años formando profesionales, la PUCV pone a disposición de los estudiantes espacios presenciales y digitales para resolver dudas sobre carreras, puntajes y vida universitaria.

Mientras los Operadores de Importancia Vital ya enfrentan las exigencias de la ley “Marco de Ciberseguridad”, la entrada en vigencia de la nueva normativa de “Protección de Datos Personales” abre un segundo frente para las organizaciones. Según TIVIT, abordar ambos procesos por separado puede traducirse en mayores costos, esfuerzos duplicados y una complejidad innecesaria.

El calendario regulatorio avanza para las organizaciones chilenas. Este mes se cumplió uno de los primeros hitos relevantes de la Ley Marco de Ciberseguridad (Ley 21.663). Los Operadores de Importancia Vital (OIV), categoría que agrupa a organizaciones públicas y privadas consideradas críticas para el funcionamiento del país, debieron acreditar ante la Agencia Nacional de Ciberseguridad (ANCI) el cumplimiento de las obligaciones establecidas por la normativa.

La nómina definitiva, publicada en diciembre de 2025 por la ANCI mediante la Resolución Exenta N°87, considera a 915 organizaciones públicas y privadas de sectores como energía, telecomunicaciones, banca y servicios financieros, y salud, además de empresas y organismos del Estado. Estas entidades deben cumplir exigencias reforzadas en materia de seguridad digital, incluyendo sistemas formales de gestión de seguridad de la información, capacidades de continuidad operacional, y la obligación de reportar incidentes significativos en un plazo máximo de tres horas desde su detección. El incumplimiento puede derivar en multas de hasta 40.000 UTM, equivalentes hoy a más de $2.800 millones.

Según TIVIT, compañía especializada en servicios de ciberseguridad, nube, SAP y transformación digital, el principal desafío para las organizaciones es que la adecuación a la Ley Marco de Ciberseguridad coincide con la entrada en vigencia de una segunda normativa relevante: la Ley de Protección de Datos Personales.

El próximo 1 de diciembre de 2026 comenzará una nueva etapa con la entrada en vigencia de la Ley de Protección de Datos Personales (Ley 21.719), que incorporará nuevas obligaciones relacionadas con la gobernanza de datos, trazabilidad de la información, gestión de riesgos y respuesta ante incidentes que involucren datos personales.

En la práctica, muchas organizaciones estarán enfrentando dos procesos regulatorios estrechamente relacionados en un período inferior a seis meses.

Para TIVIT, el principal riesgo es que las empresas aborden ambos desafíos como proyectos independientes.

«Ambas normativas parten de una premisa clara, la responsabilidad ya no se delega, se gestiona. Las organizaciones que aborden la privacidad de los datos y la ciberseguridad como un único modelo de gobierno corporativo serán las que lleguen mejor preparadas a la vigencia de la ley y eviten sobrecostos en los próximos meses», comentó Pablo García, BDM Cyber de Tivit Latam.

A juicio de la compañía, el proceso de adecuación a estas normativas ha dejado en evidencia tres brechas recurrentes en distintas organizaciones:

– Sistemas de gestión de seguridad de la información que existen a nivel documental, pero que no han sido puestos a prueba mediante ejercicios o simulaciones reales.
– Falta de visibilidad sobre qué datos personales se recopilan, dónde se almacenan y quién tiene acceso a ellos.
– Capacidades de detección y respuesta a incidentes que dificultan cumplir los tiempos de notificación exigidos por la regulación.

Estas brechas adquieren especial relevancia, considerando que tanto la Ley “Marco de Ciberseguridad” como la nueva Ley de “Protección de Datos Personales” exigen a las organizaciones contar con procesos robustos para identificar riesgos, proteger información crítica y responder oportunamente ante incidentes.

«Notificar un incidente crítico en tres horas es operativamente imposible si ciberseguridad y protección de datos no hablan el mismo lenguaje. Establecer un modelo de gobierno que genere convergencia entre ambas áreas ya no es solo una buena práctica, sino la única forma de operar con resiliencia y eficiencia», agrega García.

En este escenario, la capacidad de integrar ciberseguridad, gestión de riesgos y gobernanza de datos será uno de los principales desafíos para las organizaciones durante los próximos meses.

noticias relacionadas

Hasta el 10 de julio se extiende periodo de postulación al Premio Nacional de Innovación Avonni 2026

Ciberdelincuentes usan falsas herramientas de IA para atacar a PyMEs: casos se quintuplican en 2026

¿Dormir mal podría influir en el riesgo de algunos cánceres? Esto es lo que dicen nuevas investigaciones

Expertos analizan desafíos clave para consolidar a Chile como hub de data centers en la región