Durante el 2024, Chile vivió un proceso importante a nivel de regulaciones tecnológicas en que se aprobaron diversas regulaciones que vienen a actualizar un ecosistema normativo nacional acorde a los estándares internacionales principalmente influenciados por Europa. Este proceso coloca al país como líder a nivel latinoamericano. No obstante ello, el 2025 será un año lleno de desafíos para las organizaciones públicas y privadas a nivel nacional, puesto que ambas normativas contienen una serie de obligaciones en la que la autorregulación puede ser un aliado relevante en este proceso.
Indudablemente, una de las normas pioneras a nivel latinoamericano, es la Ley N.º 21.663, Marco de Ciberseguridad que crea la Agencia Nacional de Ciberseguridad. Esta se basa mayoritariamente en la Directiva NIS2 europea en materia de ciberseguridad. Recientemente, se publicó el decreto con fuerza de ley (DFL) N.º 1, de la citada ley que, entre otras materias: a) establece el 1º de enero de 2025 como la fecha de inicio de las actividades de la Agencia Nacional de Ciberseguridad (ANCI), así como para el resto de las disposiciones salvo aquellas relativas al procedimiento de declaración de operadores de importancia vital (OIV), sus obligaciones y el régimen de infracciones aplicable a los sujetos regulados que entrará en vigor el 1º de marzo del 2025. Esto implica que, con el inicio de las actividades de la ANCI, se espera que comiencen a establecerse paulatinamente lineamientos respecto de aquellos servicios esenciales descritos en el artículo 4º de la normativa, como preparar a los posibles operadores que sean declarados de importancia vital.
No obstante ello, dentro de las normas que entrarán en vigor junto con las operaciones de la ANCI, se encuentran aquellos deberes generales para los servicios esenciales que, de acuerdo con el artículo 7º, consisten en “aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad”, pudiendo ser medidas de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.
Por otra parte, desde el 1º de marzo, entrarán en vigor las obligaciones específicas para los OIV de acuerdo con el artículo 8º y el deber de reporte de incidentes de aquellos que puedan tener impacto significativo del artículo 9º. Importante es destacar que, dentro de las obligaciones específicas para OIV, se encuentran la implementación de un sistema de gestión de seguridad de la información (SGSI) y la elaboración de planes de continuidad operacional y ciberseguridad; ambos pudiendo basarse en buenas prácticas ampliamente reconocidas en la industria como ISO 27.001 o ISO 22301, entre otras.
En el caso de la obligación de reporte, el establecimiento de un sistema de gestión de incidentes será vital, considerando los plazos que contempla la normativa, a saber 3 horas desde el conocimiento de la ocurrencia del ciberataque o incidente de impacto significativo, debiendo enviar una alerta temprana; dentro de las 72 horas, debiendo enviar una actualización que incluye una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso; que en el caso de los OIV, el plazo se reduce a 24 horas; y finalmente, dentro de los 15 días corridos desde la primera alerta, un informe final. Importante es tener presente que el régimen de infracciones para los servicios esenciales tiene multa hasta las 20.000 UTM (unidades tributarias mensuales) y los OIV hasta 40.000 UTM.
Para concluir, la ANCI tendrá un rol fundamental en relación con los protocolos y estándares que dicte para efectos de la prevención y gestión de los riesgos de ciberseguridad, así como la contención y mitigación de los incidentes que puedan tener impacto sobre la continuidad operacional, como las redes o sistemas que los soportan.
Por otro lado, la reciente publicada Ley N.º 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales entra en vigor el 1º de diciembre del 2026 y conlleva una serie de desafíos para las organizaciones en cuanto a la identificación de los datos personales tratados, las actividades que se realizan y, por ende, los posibles riesgos de incumplimiento normativo. Esto, no solo es un cambio de paradigma a nivel nacional, considerando que nuestra normativa vigente (Ley N.º 19.628, sobre protección a la vida privada) tenía deficiencias altamente discutidas, por ejemplo: la falta de un órgano fiscalizador; la no existencia de obligaciones claras para el responsable o encargado; y, por ende, en caso de infracción, deberes por la inexistencia de un régimen de infracciones diferenciado, lo que queda corregido con la reciente normativa.
En ese mismo sentido, una de las innovaciones a nivel de autorregulación que establece la normativa, es la posibilidad que las organizaciones adopten un modelo de prevención de infracciones(artículos 49º y siguientes) sin perjuicio de lo señalado en el artículo 48º; que los responsables deben adoptar acciones destinadas a prevenir la comisión de infracciones contenidas en la normativa.
Ahora bien, los modelos de prevención son de carácter voluntario, acorde a la normativa, y se configuran en la adopción de un programa de cumplimiento que debe contener a lo menos: un delegado de protección de datos personales; los medios y facultades del delegado; la identificación del tipo de información, categoría, clase o tipo de datos y caracterización de los titulares; identificación de las actividades o procesos de la entidad en que se genere o incremente la comisión de infracciones de la normativa; establecimiento de protocolos, reglas y procedimientos específicos que permitan intervenir en las actividades o procesos; mecanismos de reporte interno sobre el incumplimiento de lo dispuesto en la normativa; existencia de sanciones administrativas internas y procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones. Estos modelos serán certificados por la Agencia de Protección de Datos Personales (artículo 51º), y los certificados que se emitan tendrán una duración de 3 años, pudiendo ser revocados en casos determinados (artículos 52º y 53º).
La certificación de un modelo de prevención de infracciones configura una atenuante de responsabilidad, acorde al artículo 36º de la Ley. Esto es especialmente, relevante si se considera que las infracciones graves y gravísimas pueden llegar a hasta 10.000 o 20.000 UTM respectivamente. Además, pueden ser recargadas hasta un 50% si no se diera cumplimiento de las medidas decretadas por la Agencia para subsanar las infracciones. Adicionalmente, en caso de reincidencia, puede ser triplicada la multa o, si fuese el infractor de aquellas empresas que no sean de menor tamaño, puede llegar a hasta un 2% (graves) o 4% (gravísimas) de los ingresos anuales por ventas y servicios y otras actividades en el último año calendario.
Para concluir, ambas normativas conllevarán un desafío en cuanto a la identificación y mitigación a través de acciones específicas de los riesgos tanto de ciberseguridad como de protección de datos personales respectivamente, donde, unido a otras regulaciones que existen actualmente a nivel nacional (p.ej. la Ley de Delitos Económicos o, en sectores regulados normativas en materia de sistemas de finanzas abiertas o interoperabilidad de ficha clínica), provocará la necesidad de tener sistemas integrados que permitan identificar actividades o procesos en la organizaciones que puedan generar un riesgo de infracción normativa y, por ende, exponerse a las sanciones que abordan las mencionadas regulaciones.
Juan Pablo González Gutiérrez es abogado y académico en derecho y nuevas tecnologías.
