Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos. 

Durante el 2025, sin duda, una de las materias que ha tenido avance en materia regulatoria en Chile es la ciberseguridad. Desde la aprobación durante el 2024 de la Ley N.º 21.663, Marco de Ciberseguridad —pionera en Latinoamérica— su entrada en vigencia el 1º de enero del 2025; y el 1º de marzo del 2025 las obligaciones a los prestadores de servicios esenciales y operadores de importancia vital, el deber de reporte de incidentes de impacto significativo así como el régimen de infracciones (DFL N.º 1, 2024); indudablemente nos ha colocado en la mira del resto de la región en cuanto a los eventuales desafíos de la puesta en marcha de esta normativa, que tiene varios elementos de las regulaciones europeas en la materia. 

Con el inicio de las actividades de la Agencia Nacional de Ciberseguridad, se comenzaron a materializar algunas de las competencias que tiene este órgano, especialmente en su rol de establecer lineamientos de ciberseguridad a los prestadores de servicios esenciales. Entre ellas se puede destacar, la Instrucción General N.º 1, que establece la obligación que los prestadores de servicios esenciales designen a un encargado de ciberseguridad para el reporte de incidentes, entre ellos, aquellos que son de impacto significativo. 

En relación al proceso de calificación de OIV, y que en definitiva son un tipo de sujeto obligado con obligaciones específicas (art. 8º de la Ley) con fecha 16 de septiembre del 2025, se publicó la Resolución Exenta N.º 50 de la ANCI; en la que aprueba una nómina de casi 1.400 instituciones que podrían ser calificadas como OIV y dio inicio al proceso de consulta pública. Entre los sectores que se incluyeron en este proceso, además de los órganos de la Administración del Estado —y empresas del Estado y del sector estatal— se encuentran aquellas instituciones del sector eléctrico; telecomunicaciones; infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros; banca, servicios financieros y medios de pago; prestación institucional de salud; sin perjuicio de que se encuentran pendientes otros sectores no incorporados en esta primera etapa, tales como administradores de prestaciones de seguridad social, servicios postales y mensajería, más la producción y/o investigación de productos farmacéuticos, entre otros. 

ADVERTISEMENT

Radarfirst- Looking for clarity and confidence in every decision? You found it.

Retomando lo antes indicado y finalizado el proceso de observaciones por las instituciones calificadas preliminarmente como OIV, la ANCI a mediados de noviembre sacó un resultado del proceso de consulta pública y, el 17 de diciembre del 2025, publicó la Resolución Exenta N.º 87, del 2025, que aprobó la primera nómina de OIV. Entre los aspectos que se consideraron para mantener algunas instituciones en su rol instituciones vitales para el país fue un análisis de dos fases, la primera se centró en “que la provisión del servicio dependa de redes y sistemas informáticos, y que la afectación, interceptación, interrupción o destrucción tenga un impacto significativo en la seguridad, el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado, o en general, de los servicios que éste provee o garantizar”. 

En cuanto a la segunda fase de análisis, se centró en calificar el impacto, a través de los criterios señalados en el art. 4º del Reglamento (Decreto N.º 285, de 2024), es decir: (a) la cantidad de potenciales perjudicados; (b) la redundancia del servicio (centrándose en los atributos de disponibilidad y resiliencia); (c) existencia o no de un solo proveedor; (d) la necesidad de presentar algunos servicios esenciales para el corrector funcionamiento de otro servicio esencial; y (e) el rol que desempeña la institución en el sector que se desenvuelve y la importancia estratégica en el normal funcionamiento de la economía y el correcto funcionamiento de la sociedad; además de un entendimiento de su funcionamiento desde una perspectiva sistémica con enfoque de riesgo. Importante es mencionar que esta resolución se encuentra sujeta a recursos, tales como reposición y reclamación.

Finalmente, se dictaron una serie de instrucciones generales durante este 2025, a saber:

  • Instrucción General N.º 2, que establece instrucciones complementarias sobre la inscripción en la plataforma de reporte de incidente de la ANCI, en que permite, de manera excepcional, que los encargados de ciberseguridad puedan acceder a través de otros medios de autenticación a la plataforma que dispone la Agencia.
  • Instrucción General N.º 3, que establece instrucciones sobre la designación del delegado de ciberseguridad dentro de las obligaciones de los OIV, siendo un rol estratégico dentro de las organizaciones, que debe ser designado y reportar directamente a la Alta Dirección, además de ser contraparte ante la ANCI. Además de los requisitos de experiencia, debe tener independencia funcional con otras áreas (p. ej., tecnologías de la información), reforzando su rol de segunda línea de defensa; y finalmente, es un cargo complementario al de encargado de reporte de incidentes. 
  • Instrucción General N.º 4, que imparte instrucciones sobre las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad dentro de la obligaciones de los OIV, que establece medidas técnicas y operativas inmediatas y obligatorias para contener, aislar y mitigar un incidente, a través de algunas acciones, tales como: respuesta inmediata obligatoria; restricción y aislamiento de los sistemas infectados; gestión de credenciales; gestión de los accesos remotos; suspensión de los servicios expuestos a Internet; uso de herramientas digitales; uso de firewalls; y una coordinación y registro activa con la ANCI.

Para concluir, es importante destacar que todos estos esfuerzos han permitido que en el Reporte de Ciberseguridad de este año, elaborado por el BID y OEA, Chile destaque dentro de Latinoamérica por sus capacidades en ciberseguridad, liderando en la región; lo que sin duda, implicará que durante el 2026 se presenten varios desafíos durante la implementación de la normativa nacional, especialmente, por la pronta entrada en vigencia de la Ley de Protección de Datos Personales (modificada por la Ley N.º 21.719), y además, de fortalecer la relación público-privado, elevar la ciberseguridad al C-Level dentro de las organizaciones; así como colocar especial énfasis en un aspecto crítico, la cultura ya no solo desde un enfoque técnico, sino en todos quienes interactuamos activamente en el ciberespacio. 

Juan Pablo González es abogado, director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.