X

Ciberseguridad

  Soluciones / Ciberseguridad
Cumplimiento Legal y Regulación — KLG Technology
Soluciones · KLG Technology

Chile tiene dos leyes de cumplimiento obligatorio con impacto directo en la organización: la Ley 21.663 de Ciberseguridad y la Ley 21.719 de Protección de Datos Personales. KLG acompaña el cumplimiento de ambas desde el diagnóstico hasta la operación continua, generando evidencia auditable ante los reguladores.

⚖ Ley 21.663 · Ciberseguridad
🔒 Ley 21.719 · Datos Personales
🏛 ANCI · APDP · CSIRT
📋 Evidencia auditable para reguladores
2
Leyes de cumplimiento obligatorio en Chile
20.000
UTM multa máxima por incumplimiento
dic. 2026
Vigencia Ley 21.719 · Preparación hoy
El costo real de no cumplir

No es solo un riesgo legal. Es un riesgo de negocio.

Las nuevas leyes chilenas establecen obligaciones concretas con plazos definidos y sanciones directas para la organización y sus directivos. El incumplimiento no es solo una multa: implica paralización operativa, daño reputacional, responsabilidad personal de la alta dirección y exposición ante clientes y mercados.

La mayoría de las organizaciones presentan brechas que las dejan expuestas sin saberlo:

  • No tienen mapeadas sus obligaciones bajo la Ley 21.663 ni la 21.719
  • No existe un Delegado de Ciberseguridad ni un DPO formalmente designado
  • No hay protocolo de reporte de incidentes al CSIRT en 3 horas
  • Los datos personales se tratan sin base legal documentada ni registro de actividades
  • No existe evaluación de impacto (DPIA) para tratamientos de alto riesgo
  • El cumplimiento es reactivo: se actúa después de una fiscalización o un incidente
Sanciones vigentes · Leyes 21.663 y 21.719
20.000 UTM
Infracción gravísima
No notificar brechas, tratar datos sin base legal, impedir el ejercicio de derechos o no designar delegado siendo obligatorio.
10.000 UTM
Infracción grave
Incumplir medidas permanentes de seguridad, violar el principio de finalidad de datos, o no implementar el SGSI siendo OIV.
Personal
Responsabilidad directiva
El jefe superior del organismo público responde administrativamente. En privados, la responsabilidad alcanza a directores y ejecutivos.

Fuentes: Ley 21.663 · BCN ↗  ·  Ley 21.719 · BCN ↗

3 h
Plazo para notificar incidente al CSIRT · Ley 21.663
30 d
Para responder solicitudes ARCO de titulares · Ley 21.719
72 h
Plazo de referencia para notificar brechas a la APDP
dic. 2026
Vigencia plena Ley 21.719 · La preparación toma tiempo
Obligaciones por ley

Las dos leyes y sus obligaciones específicas

Cada ley tiene obligaciones distintas con plazos, responsables y evidencias propias. KLG las implementa de forma integrada para evitar duplicación de esfuerzo.

Ley 21.663 de Ciberseguridad

Establece un marco de obligaciones de ciberseguridad para organismos públicos y privados en Chile, con exigencias especiales para los Operadores de Importancia Vital (OIV) y operadores de servicios esenciales. Vigente desde mayo 2024 para sectores prioritarios.

La ley crea la ANCI (Agencia Nacional de Ciberseguridad) como regulador y el CSIRT Nacional como receptor de reportes de incidentes. El incumplimiento puede provocar sanciones directas y responsabilidad personal de la alta dirección.

Regulador ANCI & CSIRT Nacional
Vigencia OIV Mayo 2024
Aplica a OIV, servicios esenciales, organismos públicos
Multa máx. 20.000 UTM
Fuente BCN →
Art. 7° · Medidas permanentes
Medidas Permanentes de Ciberseguridad
Controles tecnológicos, organizacionales, físicos e informativos de carácter continuo que toda organización afecta debe implementar y mantener operativos.
Continuas Todas las entidades
Art. 8° lit. i) · Delegado OIV
Delegado de Ciberseguridad (OIV)
Cargo obligatorio para OIV: contraparte formal ante la ANCI y responsable de la gestión de la ciberseguridad a nivel organizacional. Puede ser interno o externo.
Solo OIV Externo permitido
Art. 9° · Plazos de reporte
Reporte de Incidentes Significativos
Alerta al CSIRT Nacional en 3 horas desde la detección. Actualización en 72 horas. Informe técnico final en 15 días. Los plazos corren desde que la organización tiene conocimiento.
3 h alerta 72 h actualiz. 15 d informe
Arts. 8° a) y b) · SGSI
Sistema de Gestión de Seguridad (SGSI)
Evaluación continua de riesgos, registro auditado de incidentes y certificación bienal por entidad acreditada. La ISO/IEC 27001 es la norma de referencia para implementarlo.
Evaluación continua ISO 27001 compatible
Art. 8° lit. h) · Capacitación
Cultura y Capacitación en Ciberseguridad
Programas continuos de formación para el personal, incluyendo simulaciones, ejercicios de respuesta y cultura de ciberseguridad para reducir el vector humano de amenazas.
Continua Todo el personal
Marco regulatorio · Visión completa
Marco Regulatorio en Chile
Visión integrada del marco normativo chileno: Ley 21.663, Ley 21.719 y otras regulaciones sectoriales que se aplican a distintos tipos de organizaciones en Chile.
Visión integral

Ley 21.719 de Protección de Datos Personales

Reemplaza íntegramente la Ley 19.628 y establece un marco moderno de protección de datos personales en Chile, alineado al GDPR europeo. Crea la Agencia de Protección de Datos Personales (APDP) como regulador independiente con facultades sancionatorias.

Toda organización que trate datos personales de personas naturales en Chile queda sujeta a esta ley, independientemente de su tamaño o sector. No hay umbral de tamaño.

Regulador APDP (Agencia de Protección de Datos)
Vigencia 1 de diciembre de 2026
Aplica a Toda entidad que trate datos personales
Multa máx. 20.000 UTM
Fuente BCN →
Art. 3° · Principios rectores
Principios de Tratamiento de Datos
Los 7 principios que rigen todo tratamiento: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y transparencia. El responsable debe acreditar su cumplimiento.
7 principios Toda entidad
Art. 50 · DPO
Delegado de Protección de Datos (DPO)
Obligatorio para organismos públicos y empresas con tratamiento masivo de datos sensibles o monitoreo sistemático a gran escala. Puede ser interno o externo (DPO as a Service).
OO.PP. obligatorio Externo permitido
Arts. 5°–9° · Derechos
Derechos ARCO + Portabilidad
Acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Las organizaciones deben responder en 30 días hábiles y contar con mecanismos accesibles para su ejercicio.
30 días respuesta Bloqueo: 2 días
Art. 14 quater · Privacy by design
Evaluación de Impacto (DPIA / EIPD)
Obligatoria antes de iniciar tratamientos de alto riesgo: perfilamiento masivo, datos sensibles, decisiones automatizadas. Si el riesgo residual persiste, consulta previa a la APDP.
Previa al tratamiento Alto riesgo
Notificación obligatoria
Notificación de Brechas de Seguridad
Notificación a la APDP sin dilación injustificada (referencia: 72 horas). Notificación directa a titulares cuando la brecha represente alto riesgo para sus derechos.
72 h APDP Titulares si alto riesgo
Marco regulatorio · Visión completa
Marco Regulatorio en Chile
Visión integrada de ambas leyes y el marco regulatorio chileno, con las obligaciones comparadas entre Ley 21.663 y Ley 21.719 y su convergencia en la práctica.
Visión integral
Cómo lo implementamos

Del diagnóstico al cumplimiento continuo en cuatro fases

El cumplimiento no es un proyecto puntual: es un estado continuo y demostrable. Nuestra metodología lleva a la organización desde la brecha inicial hasta la operación auditable.

Fase 1 · Semanas 1–3
Diagnóstico de brecha
Assessment estructurado contra las obligaciones de Ley 21.663 y Ley 21.719. Mapa de brechas por obligación, prioridades de acción y hoja de ruta de cumplimiento con plazos y recursos necesarios.
Fase 2 · Meses 1–4
Implementación y documentación
Diseño e implementación de controles: políticas, procedimientos, registros y mecanismos técnicos. Designación de delegados, RAT, políticas de privacidad, protocolo de incidentes y derechos ARCO.
Fase 3 · Mes 4–5
Capacitación y validación
Formación del personal, ejercicios de simulación, prueba del protocolo de incidentes y auditoría interna de cumplimiento. Generación de evidencias auditables ante ANCI y APDP.
Fase 4 · Continua
Operación continua
Monitoreo del cumplimiento, atención de solicitudes ARCO, notificaciones regulatorias, actualización ante cambios normativos y auditorías periódicas de postura de cumplimiento.
📊
Registro de Actividades de Tratamiento (RAT)
Inventario de todos los tratamientos de datos: finalidad, base legal, destinatarios, plazos de retención. Exigible por la APDP en cualquier momento.
📋
Políticas de privacidad y seguridad
Documentos públicos e internos que acreditan el cumplimiento de los principios del art. 3° y las medidas permanentes del art. 7°.
🔍
Evaluación de Impacto (DPIA)
Documentación completa de los tratamientos de alto riesgo con matriz de riesgos, medidas de mitigación y opinión formal del DPO.
Protocolo de incidentes y brechas
Procedimiento documentado para gestionar incidentes bajo Ley 21.663 (CSIRT 3 h) y brechas bajo Ley 21.719 (APDP 72 h) en paralelo.
👤
Procedimiento de derechos ARCO
Canal de recepción, registro auditado y proceso de atención en los 30 días legales para solicitudes de acceso, rectificación, supresión y oposición.
📜
Reportes ejecutivos de cumplimiento
Informes para directorio y reguladores con estado de cumplimiento, incidentes gestionados y evidencia de las obligaciones implementadas.
Enfoque integrado

Una sola brecha puede activar ambas leyes simultáneamente

Un incidente de ciberseguridad que involucra datos personales activa de forma paralela las obligaciones de la Ley 21.663 (reporte al CSIRT en 3 horas) y la Ley 21.719 (notificación a la APDP en 72 horas y a titulares si hay alto riesgo).

Implementar las dos leyes de forma separada genera duplicación de esfuerzo, documentación inconsistente y riesgo de incumplimiento. KLG las aborda como un único proyecto integrado que genera evidencia operativa para ambas con un solo equipo.

⚖ Ley 21.663 · Ciberseguridad
  • Medidas permanentes de seguridad
  • Delegado de Ciberseguridad (OIV)
  • SGSI y evaluación de riesgos
  • Reporte CSIRT: 3 h / 72 h / 15 d
↔ Obligaciones compartidas
Gestión de incidentes Seguridad técnica Capacitación Gobierno directivo Registro y evidencia Notificación de brechas
🔒 Ley 21.719 · Protección de Datos
  • Principios de tratamiento (art. 3°)
  • Delegado de Datos DPO (art. 50)
  • Derechos ARCO + portabilidad
  • DPIA y notificación APDP 72 h
Respaldo técnico y jurídico
Certificados en ISO/IEC 27001. Alineados a marcos internacionales.
KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. El cumplimiento legal se implementa sobre esta base certificada, que es también el estándar de referencia del SGSI exigido por la Ley 21.663.
ISO/IEC 27001
✓ Certificado · AENOR · IQNet
Ley 21.663
Marco de referencia aplicado
Ley 21.719
Marco de referencia aplicado
GDPR / NIST
Marco de referencia aplicado
¿Por qué KLG Technology?

Cumplimiento legal integrado con capacidad técnica real

El cumplimiento legal requiere tanto conocimiento jurídico como capacidad técnica para implementar los controles. KLG cubre las dos dimensiones en un solo equipo.

Conocimiento profundo de ambas leyes
Experiencia documentada en la implementación de la Ley 21.663 y la Ley 21.719, traduciendo cada obligación legal en controles concretos, medibles y auditables.
CISO y DPO as a Service integrados
El Delegado de Ciberseguridad (Ley 21.663) y el DPO (Ley 21.719) operan coordinados desde KLG, eliminando la fragmentación entre cumplimiento de ciberseguridad y protección de datos.
Certificación ISO/IEC 27001
Nuestros procesos están auditados bajo ISO/IEC 27001, la norma que la Ley 21.663 reconoce para el SGSI. La certificación no solo respalda nuestro servicio: es parte del entregable al cliente.
Evidencia auditable desde el primer día
Cada entregable está diseñado para ser presentable ante la ANCI, la APDP o el directorio. No solo cumplimos: documentamos que cumplimos de forma demostrable.
Un proyecto, dos leyes
Implementamos el cumplimiento de Ley 21.663 y Ley 21.719 como un proyecto integrado, evitando la duplicación de costos y esfuerzos que implica tratarlas por separado.
Acompañamiento continuo, no solo diagnóstico
No entregamos un informe y nos vamos. Operamos el cumplimiento continuo: atención ARCO, notificaciones regulatorias, actualizaciones ante cambios legales y auditorías periódicas.

¿Puede su organización demostrar hoy que cumple con la Ley 21.663 y está preparada para la Ley 21.719?

Realizamos un diagnóstico inicial de brechas frente a ambas leyes. El primer paso tarda menos de lo que imagina.

Solicitar diagnóstico →


Proteja su Organización Hoy 

La ciberseguridad no es opcional. Es una obligación legal, una responsabilidad directiva y una ventaja competitiva.


CONTÁCTENOS AHORA

¿Por qué KLG TECHNOLOGY?
Certificación ISO/IEC 27001 propia
Operamos bajo el mismo estándar que implementamos para nuestros clientes — auditado por AENOR e IQNet. No lo recomendamos: lo vivimos.
 
Ley 21.663 y 21.719 en un solo equipo
Dominio profundo de ambas leyes chilenas. Traducimos cada obligación legal en controles concretos, medibles y auditables ante la ANCI y la APDP.
 
CISO y DPO como servicio integrado
Delegado de Ciberseguridad y DPO coordinados desde KLG. Sin fragmentación de responsabilidades ni duplicación de estructuras o costos.
 
SOC propio 24×7 en Chile
Centro de operaciones de seguridad operado desde Chile con infraestructura Tier 3 Fujitsu. Monitoreo continuo con analistas que hablan español y conocen el contexto local.
 
Enfoque preventivo con evidencia auditable
Identificamos vulnerabilidades antes de que sean incidentes. Cada control genera evidencia organizada para fiscalizaciones de la ANCI, APDP o directorio.
 
Experiencia en sectores regulados
Eléctrico, salud, financiero y minero. Conocemos las exigencias del CEN, CMF, Minsal y ANCI de forma práctica — no teórica.
 
ISO27001
SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
Acreditado por: 
AENOR Entidad Certificadora                 IQNET Entidad certificadora