Resumen
Si dirigís un área de tecnología en Chile, el panorama regulatorio cambió radicalmente entre dic-2025 y feb-2026. La ANCI publicó la nómina FINAL de 915 OIV (Res Ex 87/2025 del 17-dic-2025) y dictó cuatro Instrucciones Generales con plazos vencidos. La Ley 21.719 (Protección de Datos Personales) entra en vigencia el 1 de diciembre de 2026 con multas de hasta 4% de la facturación.
Este whitepaper te da en 8 minutos: qué obligaciones aplican, qué plazos ya vencieron, qué multas existen, y cómo prepararte sin gastar de más. Incluye la matriz operativa completa de 17 obligaciones formales generada por nuestro motor de diagnóstico.
1. Por qué esto es urgente
Cuatro datos que cambian la conversación:
1.5 Las cuatro Instrucciones Generales ANCI 2025 — lo que tienes que saber
| Norma | Publicada | Aplica a | Obligación clave |
|---|---|---|---|
| Inst Gral 1/2025 | 4-jun-2025 | Todos los PSE/OIV | Inscripción en portal.anci.gob.cl con encargado de reporte y ClaveÚnica + 2FA, en 5 días hábiles desde calificación |
| Inst Gral 2/2025 | 26-dic-2025 | PSE/OIV con encargado sin ClaveÚnica | Mecanismo auth alternativo acreditando vínculo institucional |
| Inst Gral 3/2025 | 26-dic-2025 | OIV únicamente | Designar Delegado Ciberseguridad formal — debe ser distinto del jefe TI, con documento formal y vínculo jurídico documentado |
| Inst Gral 4/2025 | 26-dic-2025 | OIV únicamente | Capacidades técnicas: SLA 3h cambio passwords admin, SLA 3h bloqueo accesos remotos, EDR/XDR/SIEM, firewall default-deny, segmentación de red con plan de contención lateral |
Plazo IG 3 e IG 4: 60 días corridos desde nómina final OIV (17-dic-2025) → vencimiento 15-feb-2026.
2. ¿Cae mi empresa bajo la Ley 21.663?
La ley aplica a:
| Categoría | ¿Quién está adentro? |
|---|---|
| Estado y servicios públicos | Ministerios, servicios, municipios, Coordinador Eléctrico Nacional |
| Servicios esenciales (sectores) | Energía, combustibles, agua, telecomunicaciones, infraestructura digital, servicios digitales, servicios TI gestionados, transporte, banca, medios de pago, seguridad social, correos, salud institucional, farmacéuticas |
| OIV | Subset crítico de los anteriores designados por ANCI mediante Resolución Exenta |
| Candidatos OIV | Empresas en nómina preliminar (Res Ex 87/2025, Res Ex 85/2026) que serán designadas en próximas etapas |
Si tu empresa no está designada formalmente pero opera en un sector esencial, debes prepararte como si lo estuvieras: ANCI puede expandir la nómina y los plazos para implementar son cortos.
Tamaño importa pero no determina aplicabilidad: la ley considera el sector y la naturaleza del servicio, no el tamaño absoluto. Sin embargo, para el primer proceso ANCI focalizó análisis en empresas con facturación 2023 ≥ 25.000 UF (tramo 8 SII).
3. ¿Qué tengo que hacer si caigo bajo Ley 21.663?
3.1 Si soy PSE designado (régimen general)
- Política formal de seguridad firmada por dirección
- Gestión de riesgos basada en identificación-análisis-tratamiento
- Controles técnicos: segmentación, cifrado, autenticación fuerte, logging
- Controles organizacionales: capacitación, roles, gestión de terceros
- Continuidad operacional con RTO/RPO documentados
- Auditorías mínimo anuales
- Procedimiento de detección y reporte de incidentes
- Encargado de reporte registrado en plataforma ANCI (Inst Gral 1/2025)
- Reportes en plazos inmovibles (ver tabla más abajo)
3.2 Si soy OIV (régimen reforzado)
Todo lo anterior, más:
- SGSI (Sistema de Gestión de Seguridad de la Información) continuo, estilo ISO 27001
- Delegado de ciberseguridad nombrado formalmente
- Simulacros mínimo anuales
- Plan de capacitación documentado
- Plan de acción ante incidente en máximo 7 días corridos desde conocimiento
3.3 Plazos de reporte (Decreto Supremo 295/2024)
| Plazo | Acción | Quién |
|---|---|---|
| 3 horas | Alerta temprana al CSIRT Nacional vía plataforma ANCI | PSE/OIV con incidente significativo |
| 72 horas | Informe inicial detallado | PSE con incidente |
| 24 horas | Informe inicial detallado | OIV con servicio esencial afectado |
| 7 días | Plan de acción documentado | OIV exclusivamente |
| 15 días | Informe final + lecciones aprendidas | PSE/OIV |
| Cada 15 días | Reportes parciales si incidente sigue abierto | PSE/OIV |
3.4 Taxonomía oficial (Resolución Exenta 7/2025)
Tu reporte tiene que clasificar el incidente usando la taxonomía oficial:
4 áreas de impacto: confidencialidad, integridad, disponibilidad, autenticidad
11 efectos observables: exfiltración de datos, indisponibilidad del servicio, degradación del servicio, phishing, ejecución no autorizada de código, manipulación de configuraciones, compromiso de credenciales, persistencia en sistemas, movimiento lateral, escalamiento de privilegios, destrucción/modificación de datos.
3.5 Sanciones
Multas escaladas por gravedad:
- PSE: hasta 5.000 / 10.000 / 20.000 UTM (leves / graves / gravísimas) → ~CLP 350M-1.4B
- OIV: hasta 10.000 / 20.000 / 40.000 UTM → ~CLP 700M-2.8B
Más responsabilidad civil hacia usuarios afectados y posible suspensión temporal del servicio.
4. ¿Cae mi empresa bajo Ley 21.719?
Aplica si tratas cualquier dato personal. Es decir: casi todas las empresas con clientes, empleados o leads.
Datos personales = cualquier información sobre persona natural identificada o identificable. Incluye:
- Nombre, RUT, email, teléfono, dirección
- Datos de comportamiento (IP, cookies, geolocalización, hábitos de consumo)
- Datos sensibles (salud, biometría, ideología, sexualidad, niños/adolescentes) — categoría especial con consentimiento explícito obligatorio
4.1 Vigencia y período de gracia
La ley se publicó el 13 de diciembre de 2024. Entra en vigencia el 1 de diciembre de 2026 (24 meses post-publicación).
Período de gracia para empresas chicas: durante los primeros 12 meses post-vigencia (hasta diciembre 2027), la APDP puede aplicar amonestación escrita en vez de multa. Esto da una ventana corta para prepararse.
4.2 Obligaciones principales
| Obligación | Qué implica |
|---|---|
| Información clara al titular (Art. 14) | Privacy notice en cada captura inicial; finalidad, base legal, destinatarios, plazo retención, derechos, contacto |
| Atención de derechos ARCOPOL (Art. 16) | Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido, Limitación. 30 días máximo |
| Medidas técnicas y organizativas (Art. 25) | Cifrado, control acceso, logging, minimización, contratos con encargados |
| Notificación de brechas (Art. 26) | A APDP "por los medios más expeditos posibles" + a titulares si hay riesgo |
| Datos sensibles (Art. 27) | Consentimiento explícito + medidas reforzadas |
| EIPD (Art. 33) | Evaluación de Impacto si tratamiento es de alto riesgo: decisiones automatizadas, masivo, monitoreo, sensible |
| Modelo de prevención (Art. 51) | Voluntario, certificable, atenúa sanciones — recomendado |
4.3 Sanciones
- Leve: hasta 5.000 UTM (~CLP 350M)
- Grave: hasta 10.000 UTM (~CLP 700M)
- Gravísima: hasta 20.000 UTM (~CLP 1.4B)
- Reincidencia gravísima: hasta 4% de la facturación anual o 20.000 UTM, lo que sea mayor
5. Cómo prepararte sin gastar de más
5.1 Diagnóstico primero, implementación después
El error más caro que vemos en mid-market chileno es comprar "una plataforma de cumplimiento" antes de saber qué obligaciones aplican concretamente. Esto resulta en stack costoso para necesidades que no son las reales.
Secuencia correcta:
- Clasificación preliminar — ¿somos PSE? ¿candidato OIV? ¿con datos sensibles?
- Matriz de obligaciones aplicables — qué dice la ley específicamente para nuestro perfil
- Análisis de brechas — qué tenemos vs qué nos falta
- Roadmap priorizado — qué hacemos en 15/30/60/90 días, con esfuerzo y costo
- Implementación incremental — empezando por las brechas más altas en sanción / más bajas en costo de remediación
- Validación técnica — pentest autorizado complementa el diagnóstico regulatorio
- Monitoreo continuo — superficie expuesta + threat intel + watch list
5.2 Capacidades internas vs externalización
Lo que debes hacer internamente:
- Designar encargado de reporte (debe tener formación/experiencia en ciberseguridad)
- Designar delegado de ciberseguridad si sos OIV
- Designar Delegado de Protección de Datos si optás por modelo de prevención Art. 51
- Mantener inventario de activos y tratamientos
- Operar el SGSI y el ciclo de mejora continua
- Capacitar al staff
Lo que puedes externalizar sin perder control:
- Diagnóstico regulatorio y gap assessment inicial
- Validación técnica externa periódica (pentest, scan)
- Apoyo en incidentes (IR retainer)
- Consultoría especializada en EIPD
- Formación ejecutiva y técnica
5.3 Errores comunes a evitar
- Esperar a la designación formal antes de prepararse → cuando llega la resolución, los plazos para cumplir son cortos
- Tratar Ley 21.663 y Ley 21.719 como dos proyectos separados → comparten controles, conviene mapeo conjunto
- Comprar herramientas antes de saber qué necesitas → diagnóstico primero
- Pentesting sin documentación legal → riesgo penal real (Ley 21.459 modificada)
- No registrar al encargado de reporte en ANCI → cuando ocurra el incidente, no tendrás canal habilitado
- No ejercer derechos ARCOPOL → multa directa por violación de derechos titulares
- No documentar EIPD para tratamientos de alto riesgo → categoría gravísima
- Subestimar el plazo de implementación → desde diagnóstico a plena operación toma 6-12 meses para empresas medianas
6. Recursos oficiales
Sobre el autor
Diego López es Ingeniero Civil Industrial con magíster en Big Data y Ciencia de Datos, certificación Lean Six Sigma. 9 años de experiencia técnica en DP World (logística portuaria), Indra (integración TI), AquaChile (operaciones), Pares y Álvarez (consultoría industrial). Fundador de 0kbot Ciberseguridad — servicios productizados de pentest e inteligencia regulatoria para mid-market chileno.
- Email: hola@0kbot.com
- Web: 0kbot.com
- LinkedIn: linkedin.com/in/d1egol
¿Listo para un diagnóstico para tu empresa?
Te respondemos en menos de 24 horas hábiles con scope, plazo y precio. Sin spam.
Este whitepaper se distribuye gratuitamente. La información presentada refleja la normativa vigente al 30 de abril de 2026 y no constituye asesoría legal. Para análisis específico de tu empresa, contáctanos para agendar una sesión de discovery sin costo.