Ciberseguridad y Protección de Datos en Chile: Marco Normativo 2024-2026

Entrada publicada en Derecho y etiquetada Chile ciberseguridad Cumplimiento Normativo Ley Marco de Ciberseguridad Protección de datos el por .

Ciberseguridad y Protección de Datos: Marco Normativo Chileno 2024

El Imperativo Legal

La transformación digital ha convertido a los activos de información en la infraestructura más crítica de las naciones, exigiendo un marco jurídico robusto y proactivo.

La Realidad de la Amenaza

  • Riesgo permanente: Todas las empresas, sin excepción, están bajo amenaza constante de ataques.
  • Impacto reputacional: Las brechas de datos destruyen la confianza del consumidor en segundos.
  • Estrategia legal: La ciberseguridad ya no es solo un tema de TI; es una prioridad de cumplimiento normativo.

Los Tres Pilares Normativos

  • Ley 21.459 (Delitos Informáticos): Tipificación moderna acorde al Convenio de Budapest para sancionar el cibercrimen.
  • Ley 21.663 (Ley Marco): Crea la arquitectura institucional nacional para gestionar la ciberseguridad pública y privada.
  • Ley 21.719 (Protección de Datos): Nueva institucionalidad y estándares internacionales de privacidad.

Ley 21.459: Delitos Informáticos

Nuevos Tipos Penales

  • Acceso ilícito a sistemas.
  • Interceptación de datos.
  • Daño informático (borrado).
  • Falsificación informática.
  • Receptación de datos.

Responsabilidad jurídica: Esta ley extiende la responsabilidad penal de las personas jurídicas. Las empresas deben actualizar sus Modelos de Prevención de Delitos (MPD) para incluir riesgos informáticos.

Ley Marco de Ciberseguridad (Ley 21.663)

Publicada en abril de 2024, marca un hito al establecer la gobernanza nacional del ciberespacio. Introduce el concepto de servicios esenciales y obliga a las empresas vitales a adoptar estándares de seguridad robustos bajo supervisión estatal.

Institucionalidad

  • ANCI (Agencia Nacional de Ciberseguridad): Organismo rector con facultades de regulación, fiscalización y sanción.
  • CSIRT Nacional: Equipo de respuesta ante incidentes de seguridad informática, encargado de la coordinación operativa en crisis.
  • Consejo Consultivo: Instancia de colaboración público-privada para proponer mejoras a las políticas de ciberseguridad.

Sujetos obligados y plazos: Los Operadores de Importancia Vital (OIV) tienen un plazo máximo de 3 horas para notificar incidentes significativos a la ANCI. El incumplimiento puede derivar en multas severas y responsabilidades legales para directores y gerentes.

Nueva Ley de Protección de Datos

  • Nueva agencia: Autoridad técnica con facultades para fiscalizar el tratamiento de datos.
  • Principios: Licitud, finalidad, proporcionalidad y seguridad.
  • Derechos ARCO+: Se añade la portabilidad y el derecho a no ser objeto de decisiones automatizadas.

Responsabilidad del directorio: Hacia un gobierno digital, el directorio tiene el deber de cuidado de supervisar los riesgos cibernéticos; no gestionar estos riesgos constituye una falta al deber de diligencia. Accountability: La empresa debe ser capaz de demostrar que implementó todas las medidas necesarias ANTES del incidente.

Roadmap de Implementación

  • 2024: Publicación Ley Marco y nueva ley de datos.
  • 2025: Instalación de ANCI y Agencia de Protección de Datos.
  • 2026: Plena vigencia y fiscalización de sanciones.

Datos Personales y Privacidad

Marco Legal Actual

Fundamentos en la Ley 19.628. Principios vigentes:

  • Finalidad: Los datos deben recolectarse para fines determinados, explícitos y lícitos.
  • Consentimiento: Autorización del titular que debe ser libre, previa, informada y específica.

Ausencia de autoridad: Al no contar con una autoridad de control técnica e independiente, la fiscalización es ineficiente y los procesos judiciales son lentos.

Definiciones y Estándares

¿Qué es un dato personal? Según el Art. 2 de la Ley 19.628, es toda información concerniente a personas naturales, identificadas o identificables.

El rol de la ciberseguridad: Es el soporte técnico fundamental de la integridad de los datos. Sin medidas de encriptación y control de acceso, los datos quedan expuestos a manipulaciones críticas.

Ley N° 21.719

Publicada en diciembre de 2024, reemplaza a la antigua ley y establece principios alineados con el GDPR (Reglamento General de Protección de Datos de la Unión Europea). Contempla una vacancia legal de 24 meses, entrando en plena vigencia en diciembre de 2026.

Obligaciones Corporativas

  • RAT: Registro de Actividades de Tratamiento.
  • Seguridad: Medidas técnicas y organizativas proporcionales al riesgo.
  • Notificación: Reporte obligatorio de brechas.
  • Derechos ARCO: Mecanismos claros, gratuitos y rápidos.
  • DPO (Delegado de Protección de Datos): Designación recomendada para supervisar el cumplimiento.
  • PIA/EIPD: Evaluación de impacto obligatoria en tratamientos de alto riesgo.
  • Transferencias internacionales: Garantizar niveles adecuados de protección.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *