Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.

La Ley N.º 21.663 entro en vigor el 1º de marzo de 2025. Entre las disposiciones de la ley, conocida también como la Ley Marco de Ciberseguridad, se aborda latamente el procedimiento de declaración de Operador de Importancia Vital en el artículo 6º, a través de un procedimiento reglado, ante la Agencia Nacional de Ciberseguridad, alejándose de la aproximación europea contenida en la Directiva NIS2 sobre ciberseguridad, que automáticamente incluye sectores regulados en los que se encuentran entidades esenciales e importantes, sin que exista la necesidad de una declaración formal por parte de una autoridad nacional. Ello, no obstante, del proceso de trasposición que cada país debió cumplir a octubre de 2024, aunque la realidad nos refleja que únicamente lo han realizado, hasta la fecha, países como Bélgica, Italia, Lituania, Hungría y Croacia, estando el resto aún en proceso de revisión de su normativa interna.

Ahora bien, lo anterior refleja la dificultad intrínseca que tiene el proceso de definir aquellos sectores que son críticos para un país, cabiendo mencionar que con la anterior normativa europea NIS1 eran únicamente 7 (por ej. sector financiero, transporte y energía, entre otros), siendo ampliado a casi 18 sectores (al incluirse sectores como tratamiento de agua, producción de alimentos, servicios postales y proveedores de servicios digitales, entre otros) los cuales requieren una protección adicional desde la perspectiva de los incidentes de ciberseguridad que pueden sufrir, por los posibles impactos en la sociedad.

Sin duda, los acuerdos entre todos los actores interesados y la bajada sectorial implican un proceso complejo. El criterio de establecer un listado de sectores que son esenciales fue determinado en parte en el proceso de discusión legislativa de la Ley N.º 21.663; y se ve reflejado en el inciso segundo del artículo 4º, aunque no se incluyó un anexo que establezca claramente cuáles son las actividades económicas incorporadas en cada uno de los sectores que ha sido definido como crítico, por ejemplo: infraestructura digital, banca, servicios financieros y medios de pago, o el suministro de agua o saneamiento, entre otros.

Si se revisa la Historia Legislativa de la Ley N.º 21.663, se percata que uno de los aspectos discutidos fue la vaguedad del concepto de servicio esencial, así como la grave incertidumbre que implica para aquellos sujetos obligados establecer un listado de sectores sin criterios objetivos, considerando que deben cumplir con deberes generales, acorde al artículo 7º de la normativa. Además, en la Comisión de Defensa, se discutió sobre las razones por la cuáles algunas industrias, por ejemplo, la del cobre, no fueran incluidas en el listado del artículo 4º de la Ley, a pesar, de su rol estratégico para la economía nacional, siendo este un elemento clave para determinar aquellas prestaciones esenciales. Estos aspectos fueron corregidos en parte en la Comisión de Seguridad Ciudadana, a través de la incorporación de un procedimiento reglado y requisitos específicos para la calificación OIV, una categoría de sujeto obligado que generalmente saldrá de aquellos prestadores de servicios esenciales y, por ende, tendrán un régimen detallado de obligaciones (deberes específicos) de acuerdo con el artículo 8º de la Ley.

En consecuencia, el modelo chileno, es de carácter declarativo, otorgándole a la ANCI el rol centralizado de calificación de aquellas instituciones públicas y privadas que son OIV dentro de aquellos sectores esenciales, activándose los deberes específicos únicamente cuando la resolución de calificación se encuentre ejecutoriada. Al igual que la Directiva NIS2, la Ley N.º 21.663 tiene un régimen diferenciado para las pequeñas y medianas empresas (de acuerdo con la Ley N.º 20.416), aunque en el caso de la disposición europea, no incluye a las microempresas, es decir, sólo están incluidas aquellas que tengan 10 empleados o más y un volumen de negocios anual o balance superior a 2 millones de euros, según la recomendación 2003/361/CE de la Comisión Europea.

El procedimiento descrito en el artículo 6º de calificación de OIV y detallado en el Reglamento (Decreto N.º 285) se centra en principios de gradualidad y proporcionalidad. En otras palabras, la declaración de operadores de importancia vital es un proceso gradual—que se realizará durante el 2025—y proporcional, ya que no todas las instituciones que prestan servicios esenciales serán automáticamente OIV, en la medida que no cumplan con los requisitos que permitan indicar su nivel de criticidad en la infraestructura o servicio, a saber: (1) que la provisión del servicio depende de las redes y sistemas informáticos; (2) que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.

Como se mencionó anteriormente, el procedimiento se encuentra regulado en el artículo 6º de la Ley, y se realizará cada tres años, liderado por la ANCI, quién debe revisar y actualizar la calificación. Para iniciar el procedimiento, la ANCI requerirá un Informe a los reguladores sectoriales sobre aquellas instituciones públicas o privadas que deban calificarse como OIV; y una vez recibidos los informes, la ANCI cuenta con 30 días corridos para evacuar un informe de una nómina preliminar de las instituciones calificadas. Esta nómina deberá ser sometida a consulta pública por 30 días, solo en el caso de las instituciones privadas. En el caso de aquellas públicas, deberá contar con un informe del Ministerio de Hacienda. Finalizado el proceso de consulta pública, la ANCI deberá, dentro de los 30 días corridos, elaborar un informe que contendrá la nómina final de instituciones que son OIV, y el director de la ANCI, a través de resolución fundada, informará a las instituciones designadas como OIV. Contra esta resolución cabrán todos los recursos administrativos contenidos en el Capítulo IV de la Ley N.º 19.880, tales como el de reposición, invalidación y de revisión, con excepción del recurso jerárquico por tratarse la ANCI de un órgano descentralizado. 

Adicionalmente, las empresas podrán optar por presentar un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o ante la Corte de Apelaciones competente según el lugar donde se encuentre la institución reclamante, acorde al art. 46º de la Ley 21.663. Es probable también que veamos eventualmente algunos recursos de protección conforme al artículo 20º de nuestra Constitución, y muy probablemente, tarde o temprano, algún requerimiento de inaplicabilidad por inconstitucionalidad ante el Tribunal Constitucional.

Si bien el procedimiento contempla una renovación trianual, y con ello le otorga flexibilidad institucional, particularmente en atención a la evolución de la tecnología y el nivel de exposición al riesgo cibernético, será muy importante el rol de la ANCI para intentar dotar de seguridad jurídica a las instituciones privadas, tanto aquellas que se encuentran dentro de los sectores económicos indicados como esenciales, conforme al artículo 4º, a fin de que puedan prepararse oportunamente en cuanto a la carga regulatoria, así como también a las que sean eventualmente calificadas como OIV, en un contexto nacional en que existe otra ola regulatoria a través de la pronta entrada en vigencia de la Ley N.º 21.719 que modifica la Ley N.º 19.628 sobre protección de datos personales.

Alberto Vergara Arteaga es abogado, Magister en Derecho, Director de HD Group en materia de Derecho Público y profesor de la Facultad de Derecho de la Pontificia Universidad Católica de Chile.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.