0kbot· Ciberseguridad
0KB-DRE-2026-014 · v1.0

Diagnóstico Regulatorio Express
Clínica MutualMed S.A.

Una sola vista de cómo MutualMed está parada hoy frente a las dos leyes que la regulan: protección de datos y ciberseguridad.

Salud privada · OIV designado TLP:AMBER · confidencial 2026-05 · v1.0 Muestra ilustrativa
Snapshot · Mayo 2026

Posición regulatoria de MutualMed

Una sola vista para directorio. El detalle técnico se lo dejamos a tu equipo de TI cuando arranquemos el diagnóstico completo.

Preparación regulatoria global: 43% 0% 100%
43%
preparación global
Crítico Brechas Conforme
Veredicto

Brechas materiales · 1 plazo vencido

Madurez parcial: 6 de 11 obligaciones declaradas con evidencia. El plazo OIV del Delegado de Ciberseguridad ya venció. Plan 30/60/90 cubre los gaps prioritarios.

Obligaciones
11
Críticas
2
Días para Ley 21.719 vigente
200
Por ley

Cómo te ven los reguladores

Dos marcos chilenos, dos puntajes. Cada área se evalúa contra evidencia documental real más, cuando aplica, hallazgos técnicos del Radar Externo.

Ley 21.719 — 52% preparación
52%
prep.
Ley 21.719

Protección de datos personales

APDP · plenamente exigible 1-dic-2026 · 6 obligaciones

  • Información clara al titular
    Art. 14 · prioritaria
    0%
  • ~
    Derechos ARCOPOL
    Art. 16 · 30 días por solicitud
    50%
  • ~
    Medidas técnicas apropiadas
    Art. 25
    62%
  • ~
    Notificación de brechas a APDP
    Art. 14 sexies · sin dilaciones · grave (Art. 34 ter k)
    38%
  • Evaluación de Impacto (EIPD)
    Art. 33 · tratamiento alto riesgo
    100%
  • ~
    Modelo de prevención
    Art. 51 · atenuante voluntaria
    38%

Techo sancionatorio máximo: 20.000 UTM por infracción gravísima (Art. 35 letra c) ≈ CLP 1.342M a UTM abril 2026 (CLP 67.124, SII). Infracciones graves: hasta 10.000 UTM ≈ CLP 671M.

Ley 21.663 — 32% preparación
32%
prep.
Ley 21.663

Ciberseguridad OIV

ANCI · MutualMed OIV designado · 5 obligaciones

  • Procedimiento de reporte ANCI
    DS 295/2024 Arts. 2, 9, 10, 12 · 3h / 72h / 15d
    25%
  • Delegado de Ciberseguridad
    IG-3/2025 ANCI · 60 días desde nómina
    0%
  • Inscripción Registro Nacional
    Ley 21.663 Art. 5 · IG-1/IG-2 ANCI
    25%
  • ~
    Plan continuidad ante incidente
    IG-4/2025 ANCI
    50%
  • ~
    Taxonomía incidentes mapeada
    Res. Ex. 7/2025 · 4 áreas + 11 efectos
    60%

Régimen sancionatorio propio (Arts. 38–43 Ley 21.663), distinto al de Ley 21.719. Plazos OIV corren desde Res. Ex. 87/2025 (17-dic-2025) — Delegado vencido desde feb-2026.

Lo que más duele

Las 3 brechas que cerrar primero

Priorizadas por severidad de la sanción × probabilidad de auditoría × evidencia faltante. Si te auditan mañana, este es el orden en que duelen.

01
Crítica
Ley 21.663 · DS 295/2024 Arts. 2, 9, 10, 12

Sin procedimiento formal de reporte ANCI

MutualMed es OIV designado. Frente a un incidente cuenta con 3 horas para alerta, 72 horas para informe preliminar y 15 días para informe final. Hoy no hay plantillas listas ni protocolo asignado.

Régimen
Ley 21.663

Régimen sancionatorio ANCI (Arts. 38–43 Ley 21.663) — distinto del techo Ley 21.719. Multa según gradación regulatoria propia.

02
Prioritaria
Ley 21.719 · Art. 14 inciso a)

Sin privacy notice publicada al titular

Es lo primero que audita la APDP. Falta en los 4 puntos de captura (web, ficha clínica, formularios presenciales, app de pacientes). Para datos de salud (sensibles, Art. 27) la obligación es agravada.

Exposición máxima
CLP 1.342M

20.000 UTM × CLP 67.124 (SII abril 2026) — techo Art. 35 letra c) Ley 21.719 (gravísima). Para grave: hasta CLP 671M.

03
Alta
Ley 21.663 · IG-3/2025 ANCI

Sin Delegado de Ciberseguridad designado

Plazo legal: 60 días desde la publicación de la nómina final OIV (17-dic-2025). El plazo está vencido. La designación debe formalizarse por acta de directorio y notificarse a ANCI.

Plazo
Vencido

Plazo de 60 días desde 17-dic-2025 venció en feb-2026. Cualquier auditoría ANCI lo detecta.

Cómo lo hacemos

Tres capas, una sola posición

Mismo motor regulatorio que usaríamos sobre tu empresa. Si dos analistas corren el motor con el mismo input, obtienen el mismo output. Sin opiniones.

01

Lo que declarás

Cuestionario sector + perfil regulatorio. Determina qué obligaciones aplican.

→ 70 preguntas · 7 categorías
02

Lo que medimos

Pruebas técnicas no intrusivas sobre tu superficie pública. Confirman o desmienten lo declarado.

→ subfinder · httpx · testssl · nuclei
03

Cómo lo cruza la ley

Cada brecha cita artículo, plazo y techo sancionatorio. Defendible ante directorio y auditor.

→ 21.663 · 21.719 · DS 295 · IG 1–4
Esto es una muestra

14 obligaciones. Tu diagnóstico real, sobre tu empresa.

Esta muestra cubre 11 obligaciones referenciales. El Diagnóstico completo levanta las 14 que aplican a tu sector y perfil OIV, entrega plan ejecutivo para directorio + plan técnico para tu equipo de TI, y re-test a 90 días sin costo adicional. 2 a 3 semanas, precio fijo.

Solicitar Diagnóstico — CLP 4.500.000 o empieza gratis con el autodiagnóstico self-serve →

El autodiagnóstico gratuito te devuelve por correo un reporte similar al que estás leyendo, ya con los puntajes de tu empresa calculados a partir del cuestionario. Sirve para llegar a la primera reunión sabiendo dónde estás parado.