🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI

juanhernandez@preyhq.com
Juan H.
May 26, 2026
0 minutos de lectura
Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La Ley 21.663 o Ley Marco de Ciberseguridad es la normativa chilena que establece obligaciones de gobernanza, gestión de riesgos y reporte de incidentes para organismos del Estado y operadores privados de servicios esenciales. Promulgada en abril de 2024, sus artículos clave entraron en vigor el 1 de marzo de 2025 y son fiscalizados por la Agencia Nacional de Ciberseguridad (ANCI).

Si llegaste a este artículo buscando "prepárate para cumplir", llegaste tarde. Desde marzo de 2025 hay artículos en vigor, la ANCI está calificando operadores y el régimen de sanciones está activo. La conversación interna en muchas empresas chilenas cambió de tono: ya no es "vamos a evaluar cuándo arrancamos", es "demuéstrame que estamos al día".

Si tu directorio te pidió un estado de cumplimiento, si recibiste una consulta de legal preguntando si la empresa califica como OIV, o si estás liderando el área de TI en un sector regulado, esta guía es para ti. Te muestra qué artículos están en vigor, qué evidencia tienes que tener lista hoy, cómo reportar incidentes a ANCI dentro del plazo, y un plan 30/60/90 para llegar a un cumplimiento operativo real (no de papel).

TL;DR

Ley 21.663: qué exige hoy y cómo demostrar cumplimiento

  • Ya está vigente: los artículos 5, 8, 9 y el Título VII de la Ley 21.663 entraron en vigor el 1 de marzo de 2025. La conversación cambió de "cuándo cumplo" a "cómo demuestro cumplimiento".
  • ANCI fiscaliza: la Agencia Nacional de Ciberseguridad califica Operadores de Importancia Vital, recibe reportes de incidentes y aplica el régimen sancionatorio activo desde marzo 2025.
  • Reporte en 72 horas: el Art. 9 obliga a notificar al CSIRT Nacional incidentes con efectos significativos, con alerta temprana en 3 horas, reporte completo en 72 horas y reporte final post-contención.
  • Evidencia mínima exigible: acta de designación del Delegado, registro de riesgos, política de incidentes, controles técnicos verificables (MFA, backups, parches, inventario, cifrado), auditoría documentada.
  • Multas reales: Título VII vigente, multas con techos de 5.000 UTM (leves), 10.000 UTM (graves) y hasta 20.000 UTM régimen general o 40.000 UTM para OIV en infracciones gravísimas.

¿Qué cambió con la Ley 21.663 desde marzo de 2025?

Buena parte de las consultas que llegan al área legal en Chile arrancan con la misma pregunta: "¿esta ley nos aplica a nosotros?". La respuesta corta es: si manejas servicios críticos o infraestructura sensible, sí.

La Ley 21.663 estructura la ciberseguridad en Chile con rango de ley, no de norma técnica. No es ISO 27001, no es NIST, no es un framework opcional. Es una obligación legal con régimen de sanciones, y crea la Agencia Nacional de Ciberseguridad (ANCI) como ente fiscalizador.

Lo que cambió este año es que dejó de ser una promesa para volverse exigible. Estos son los hitos que importan:

FechaHitoEstado
Abril 2024Promulgación de la Ley 21.663Completo
24 dic 2024Publicación del DFL N°1-21.663Completo
1 mar 2025Entrada en vigencia de Art. 5, 8, 9 y Título VIIVigente
1 mar 2025Publicación de reglamentos complementariosVigente
2026 en adelanteDesignación progresiva de Operadores de Importancia VitalEn curso

En la práctica, esto significa que la calificación como OIV es exigible, que los deberes específicos de gobernanza y controles técnicos están en vigor, que el reporte obligatorio de incidentes al CSIRT Nacional ya corre, y que el régimen sancionatorio se aplica. No hay período de gracia general que postergue estas obligaciones para quienes ya están en alcance.

Quick win: revisa si tu organización recibió comunicación formal de ANCI sobre calificación como OIV en los últimos 12 meses. Si recibiste y nadie respondió, ese es tu punto cero. Si tu sector está en el listado preliminar (telecomunicaciones, energía, salud, banca, transporte, agua, servicios digitales críticos), trata el tema como prioridad alta aunque no hayas recibido notificación.

Lectura relacionada
Nuevas Instrucciones sobre reducir impacto y propagación de incidentes
Conoce las nuevas instrucciones de la ANCI

A quién aplica: OIV, servicios esenciales y el resto

La ley distingue tres niveles de aplicación, y la diferencia entre uno y otro define qué obligaciones tienes y qué tan rápido tienes que demostrarlas.

Operadores de Importancia Vital (OIV). Son entidades públicas o privadas cuyo funcionamiento impacta directamente la seguridad nacional, el orden público, el abastecimiento, la economía o la defensa. Cuando un Operador de Importancia Vital falla o es comprometido, las consecuencias se sienten más allá de la propia organización. La ANCI los califica formalmente mediante resolución, y desde ese momento tienen un set ampliado de obligaciones (Art. 8).

Servicios esenciales. Empresas o instituciones que prestan servicios críticos al funcionamiento del país: energía, agua, transporte, salud, telecomunicaciones, banca, servicios digitales relevantes. No todos los servicios esenciales son OIV, pero todos los OIV prestan servicios esenciales. Tienen obligaciones de cumplimiento, aunque menos exigentes en algunos aspectos.

Fuera de alcance directo. Empresas que no prestan servicios esenciales ni manejan infraestructura crítica. No están sujetas al régimen de la ley, aunque las buenas prácticas que la ley exige siguen siendo útiles para reducir riesgo propio.

Quick win: responde estas 5 preguntas en 10 minutos. (1) ¿Tu sector está en la lista de servicios esenciales del Art. 4-5? (2) ¿Tu organización entrega servicios al Estado o a infraestructura crítica? (3) ¿Un incidente en tu servicio impactaría a más de 10.000 personas? (4) ¿Tienes obligaciones regulatorias paralelas (CMF, SISS, Subtel, Superintendencia de Salud)? (5) ¿Has recibido comunicación de ANCI en los últimos 18 meses? Tres o más "sí" significa que el tema es prioritario, no opcional.

Obligaciones vigentes y evidencia mínima exigible

El problema más frecuente no es desconocer la ley: es saber qué exactamente la auditoría va a pedir como evidencia. Las obligaciones que ya están en vigor se agrupan en cinco bloques. No son aspiracionales: son verificables, y la ANCI puede pedir evidencia.

1. Gobernanza y liderazgo (Art. 8). Designar formalmente un encargado de ciberseguridad con autoridad real dentro de la organización. Tiene que ser el punto de contacto con ANCI. Evidencia mínima: acta o resolución interna de designación, descripción de funciones, autoridad delegada por escrito.

2. Gestión de riesgos. Identificar, evaluar y priorizar los riesgos de ciberseguridad sobre los servicios críticos. Evidencia mínima: registro de riesgos con al menos los 10 más relevantes, criterio de evaluación documentado, plan de tratamiento con responsables y plazos, evidencia de revisión periódica.

3. Controles técnicos mínimos. Implementar medidas alineadas con frameworks reconocidos (NIST CSF, ISO 27001, NIS2 como referencia). No basta con tener políticas escritas: tienes que poder mostrar que los controles operan. Evidencia mínima: configuración de MFA, registros de backups con prueba de restauración, control de parches con cadencia documentada, gestión de accesos privilegiados, cifrado de endpoints.

4. Reporte de incidentes (Art. 9). Notificar al CSIRT Nacional incidentes con efectos significativos dentro de los plazos del reglamento. Evidencia mínima: política y flujo de respuesta, plantilla de reporte, bitácora de incidentes con fecha, severidad, decisión de reporte y resultado.

5. Auditoría documentada. Someterse a auditorías internas o externas periódicas y mantener evidencia de hallazgos, planes de mejora y cierre. Evidencia mínima: informe de auditoría reciente, plan de remediación con responsables, evidencia de seguimiento.

Esta tabla resume qué pide la ley y qué documento o registro tienes que tener listo:

AspectoQué exige la leyEvidencia que tiene que existir
GobernanzaEncargado de ciberseguridad designadoActa de designación + funciones formalizadas
Gestión de riesgosPolítica y registro de riesgosRegistro de riesgos + plan de tratamiento + revisiones
Reporte de incidentesNotificación al CSIRT en plazoIRP, plantilla, bitácora, simulacros
AuditoríaAuditorías periódicasInforme + plan de mejora + evidencia de cierre
Continuidad operativaPlan de continuidad y recuperaciónBIA, RTO/RPO definidos, pruebas de restauración
CapacitaciónPrograma de formación y simulacrosRegistros de asistencia, métricas de phishing, simulacros
Sanciones preventivasCumplimiento documentadoTrazabilidad de decisiones y controles

Cada uno de estos cinco bloques tiene su checklist accionable de evidencias mínimas con sub-ítems por categoría.

Quick win: verifica si existen estos cinco documentos con fecha del último año: acta de designación del Delegado, registro de riesgos, política de incidentes, informe de auditoría, plan de continuidad. Si falta alguno, ese es el primer entregable de tu sprint 30 días.

Cómo reportar incidentes a ANCI (Art. 9 y reglamento)

El reporte de incidentes es la obligación que más confusión genera, porque la pregunta operativa real no es "cómo reporto" sino "cuándo me toca reportar". El Art. 9 obliga a notificar al CSIRT Nacional los incidentes con efectos significativos, y el reglamento complementario publicado en marzo de 2025 detalla el contenido mínimo y los plazos.

Qué significa "efectos significativos" en la práctica. Un incidente califica cuando concurren factores como: impacto en la continuidad del servicio esencial, número de personas afectadas, exposición de datos sensibles, costo estimado de la disrupción, alcance geográfico, o si compromete sistemas relacionados con seguridad nacional. No basta con que algo haya pasado: tiene que haber un impacto material o el potencial razonable de tenerlo.

Plazos. El esquema general que aplica el reglamento es de tres entregas:

  • Alerta temprana: dentro de 3 horas desde que se toma conocimiento del incidente, según el reglamento del Art. 9.
  • Reporte completo: dentro de las 72 horas, con descripción del incidente, sistemas afectados, medidas adoptadas, impacto estimado.
  • Reporte final: cuando el incidente esté contenido, con análisis de causa raíz, lecciones aprendidas y acciones de remediación.

Caso real para calibrar el criterio. Un hospital privado en Las Condes sufrió un intento de ransomware sobre una estación de trabajo aislada del área administrativa. El equipo de TI detectó el comportamiento anómalo en menos de 30 minutos, aisló el equipo, restauró desde backup limpio y completó la respuesta en cuatro horas. No hubo pérdida de datos, no se afectó el área clínica. La pregunta en la sala de crisis fue: "¿esto califica como significativo y tenemos que reportarlo?".

La respuesta práctica: aunque el impacto fue contenido, la naturaleza del actor (ransomware con intención clara) y el sector regulado (salud) justifican el reporte como alerta temprana. Mejor sobrerreportar y documentar el criterio de decisión que omitir y enfrentar después una investigación que pregunte por qué no se reportó. El equipo armó la alerta dentro del plazo, documentó la contención y cerró el caso con un reporte final que sirvió para evidencia operativa frente a auditoría posterior.

El reporte se entrega a través de los canales oficiales del CSIRT Nacional. ANCI coordina al CSIRT Nacional y a los CSIRT sectoriales que operan por industria, articulando la respuesta nacional ante incidentes mayores.

Quick win: documenta antes del próximo incidente quién decide reportar, quién redacta el reporte, quién aprueba el envío y dónde queda el registro interno. Esto no es burocracia: es lo que evita que tu equipo pierda 6 horas decidiendo a quién llamar mientras el incidente sigue corriendo.

Te recomendamos

Checklist de Cumplimiento – Ley Marco de Ciberseguridad (21.663)

¿Quieres empezar con una hoja de ruta clara? Descarga este checklist práctico y prepara a tu organización para cumplir con las nuevas exigencias de la Ley Marco de Ciberseguridad de Chile.

Descargar gratis
Portada del checklist de cumplimiento de la Ley Marco de Ciberseguridad en Chile

Controles técnicos mínimos: qué tener ya implementado

La parte técnica de la ley se materializa en controles verificables. No basta con tener la política firmada: tiene que existir evidencia operativa de que los controles funcionan. Estos son los siete que aparecen más recurrentemente en los marcos referenciales (ISO 27001, NIST CSF) y que la ANCI espera ver implementados.

  1. MFA en cuentas con privilegios y accesos críticos. Si tu sistema de gestión, tu directorio activo y tus consolas administrativas no tienen MFA forzado, ese es el primer hueco.
  2. Backups con prueba de restauración documentada. Tener backups no sirve si nadie los restauró nunca. La auditoría pide evidencia de la última restauración exitosa.
  3. Gestión de parches críticos con cadencia definida. No es necesario parchear todo en 24 horas, pero sí tener una política con SLAs claros por severidad.
  4. Inventario de activos y accesos always-on. No una planilla actualizada hace 8 meses. Visibilidad continua de qué dispositivos existen, en qué estado están y quién tiene acceso a qué.
  5. Logs centralizados con retención mínima de 6 meses. Si pasa algo y no tienes registros, no hay forma de reconstruir lo ocurrido ni de demostrar cómo respondiste.
  6. Cifrado de endpoints. Especialmente para laptops y equipos móviles que salen de la oficina. BitLocker, FileVault o equivalente, con gestión centralizada de las claves.
  7. Capacidad de respuesta remota. Poder bloquear, aislar o borrar un dispositivo comprometido sin depender de que el usuario lo entregue físicamente. Esto se vuelve crítico en escenarios de trabajo híbrido o de dispositivos perdidos.

Los controles técnicos mínimos que exige la familia normativa chilena (Ley 21.663 + Ley 21.719) están descritos con configuración recomendada y benchmarks por industria.

Cómo Prey opera estos controles en la práctica

El cumplimiento de los controles 4, 5, 6 y 7 se materializa en el endpoint, y es donde más fricción aparece a la hora de juntar evidencia para auditoría. Prey, como plataforma de gestión y protección de endpoints, ataca específicamente esta capa:

  • Inventario always-on cross-OS. Visibilidad continua de Windows, macOS, Linux, Android, iOS y Chromebook bajo una sola cuenta. Cumple la exigencia de inventario actualizado del Art. 8.
  • Evidencia operativa de estado de seguridad. Reporte de cifrado activo, bloqueo, versión de OS, ubicación y último check-in por dispositivo. Es el tipo de output que sirve directo como anexo de auditoría.
  • Respuesta a incidentes documentada. Cuando se ejecuta un bloqueo remoto, un borrado, una alarma o una captura de evidencia, queda registrado con timestamp, usuario que ejecutó la acción y resultado. Eso es bitácora útil para el Art. 9.
  • Geofences y automatizaciones. Reglas que detectan comportamiento anómalo (un equipo saliendo de zona segura, un cambio de configuración) y disparan acciones documentadas.

No es la solución completa al cumplimiento (no reemplaza un SGSI ni una auditoría), pero cierra una capa específica que suele ser la más difícil de evidenciar: la del estado real del endpoint.

Quick win: revisa esta semana cinco cosas verificables. ¿Cuántos dispositivos tienes registrados vs. cuántos están en producción? ¿Cuál es el porcentaje con MFA activo? ¿Cuándo fue la última prueba de restauración de backup? ¿Cuántos endpoints tienen cifrado activo? ¿Puedes mostrar un log de bloqueo o wipe ejecutado en los últimos 6 meses? Si alguna respuesta es "no sé", ese es tu hallazgo.

¿Cuánto cuesta no cumplir con la Ley 21.663?

El Título VII de la ley está vigente desde marzo de 2025, y la ANCI tiene facultades sancionatorias activas. Las multas se expresan en Unidades Tributarias Mensuales (UTM) y la graduación depende del tipo de infracción y de los criterios definidos en los artículos 47 y siguientes.

Las cifras de abajo son techos máximos, no rangos automáticos. La ANCI gradúa cada infracción dentro del techo según los criterios del Art. 47.

Tipo de infracciónMulta máximaEjemplos típicos
LeveHasta 5.000 UTMNo designar Delegado de Ciberseguridad, incumplir formalidades de inscripción
GraveHasta 10.000 UTMNo reportar incidentes con efectos significativos, no implementar controles mínimos exigidos
Gravísima (régimen general)Hasta 20.000 UTMIncumplimiento reiterado, obstrucción a fiscalización
Gravísima (OIV)Hasta 40.000 UTMDaño sistémico por negligencia, omisión deliberada de reporte

Los criterios de graduación que aplica la ANCI incluyen: magnitud del daño real o potencial, intencionalidad o negligencia, reincidencia, cooperación con la autoridad, capacidad económica del infractor, y acciones correctivas implementadas. La diferencia entre una infracción grave y una gravísima muchas veces se decide en cómo respondiste, no solo en qué pasó.

Hay un punto que pocos están mirando: el Delegado de Ciberseguridad no es un cargo simbólico. Asume responsabilidades operativas concretas (decisiones de reporte, criterios de contención, evidencia documental) y, si actúa con negligencia evidente en su rol, puede quedar expuesto a acciones civiles o administrativas separadas del régimen sancionatorio institucional.

Quick win: si tu organización aún no tiene Delegado designado, asegúrate de que la designación incluya autoridad real (presupuesto, facultad para escalar, acceso a decisiones), no solo el nombre en un acta. Un Delegado sin recursos es un Delegado expuesto.

Plan 30/60/90 días para cumplimiento operativo

Si arrancas hoy desde cero (o casi), este es un plan razonable para llegar a un cumplimiento operativo verificable en 90 días. No cubre todo, pero ordena la base sobre la que el resto se construye.

Días 1-30: diagnóstico y ordenamiento

  • Designar formalmente al Delegado de Ciberseguridad con acta firmada y autoridad definida.
  • Levantar inventario de servicios críticos y plataformas que los soportan.
  • Hacer un diagnóstico inicial de brechas vs. obligaciones del Art. 8 (gobernanza, riesgos, controles, incidentes, auditoría).
  • Identificar si la organización es OIV, Servicio Esencial o está fuera de alcance.
  • Revisar comunicaciones recibidas de ANCI en los últimos 18 meses.

Días 31-60: políticas mínimas y controles top-5

  • Política de gestión de incidentes con flujo hacia el CSIRT Nacional.
  • Registro de riesgos con los 10 principales priorizados y plan de tratamiento.
  • Activar MFA en todas las cuentas con privilegios.
  • Validar y documentar el último ciclo de backups con prueba de restauración.
  • Inventario de endpoints con estado de cifrado y parches.
  • Plantilla de reporte de incidentes lista para usar.

Días 61-90: simulacro, auditoría y consolidación

  • Ejecutar un simulacro de incidente (tabletop o técnico) y documentar lecciones aprendidas.
  • Auditoría interna sobre los controles implementados.
  • Consolidar evidencia documental en un repositorio único accesible para auditoría externa.
  • Definir cadencia de revisiones (mensual, trimestral, anual) y responsables.
  • Cierre formal del plan con reporte ejecutivo al directorio.

Hay variantes por industria que ajustan los plazos y la evidencia: el cumplimiento en el sector TI, los programas de cumplimiento educacional y la implementación específica para el sector salud tienen consideraciones propias que vale la pena revisar si tu organización opera en esas verticales.

Quick win: define quién es el sponsor ejecutivo del plan antes del día 1. Sin sponsor, el plan dura 30 días y se diluye. Con sponsor activo, las decisiones se toman en horas y no en semanas.

Conclusión: de "cuándo cumplo" a "cómo demuestro que ya cumplo"

La Ley 21.663 cerró la etapa de discusión y abrió la de fiscalización. Las empresas que llegaron a marzo de 2025 con un plan estructurado están hoy mostrando evidencia. Las que llegaron sin nada están improvisando, y la diferencia se nota en cómo responden cuando ANCI pregunta.

El cumplimiento operativo se construye sobre tres capas: visibilidad (saber qué tienes, dónde y en qué estado), control (poder actuar sobre tus activos y procesos cuando algo pasa) y evidencia (poder demostrar, con registros fechados, que los controles funcionaron). Sin esas tres capas, las políticas son letra muerta y la auditoría termina mal.

No tienes que cumplir todo en 30 días. Pero sí tienes que poder responder con claridad estas tres preguntas cuando alguien las haga: ¿tu organización está en alcance de la ley?, ¿quién es el Delegado de Ciberseguridad y qué autoridad tiene?, ¿dónde está la evidencia operativa de los últimos 12 meses? Si las tres tienen respuesta clara y documentada, estás en buen camino. Si una está borrosa, ese es tu punto de partida esta semana.

Preguntas frecuentes sobre la Ley 21.663

¿Qué es la Ley Marco de Ciberseguridad?

La Ley Marco de Ciberseguridad, identificada como Ley 21.663, es la normativa chilena que establece obligaciones de gobernanza, gestión de riesgos, controles técnicos y reporte de incidentes para organismos del Estado y operadores privados de servicios esenciales. Crea la Agencia Nacional de Ciberseguridad (ANCI) como ente fiscalizador, define el concepto de Operador de Importancia Vital (OIV) y articula un régimen sancionatorio activo.

¿Qué dice la Ley 21.663?

La Ley 21.663 estructura cinco grandes bloques: la institucionalidad de la ciberseguridad nacional (con ANCI y el CSIRT Nacional como ejes), la calificación y obligaciones de los Operadores de Importancia Vital, los deberes generales de los servicios esenciales, el régimen de reporte de incidentes con efectos significativos, y el régimen sancionatorio. Los artículos 5, 8, 9 y el Título VII están vigentes desde el 1 de marzo de 2025.

¿Cuándo entra en vigencia la ley de ciberseguridad en Chile?

La Ley 21.663 ya está vigente. Su promulgación fue en abril de 2024, el DFL N°1-21.663 se publicó el 24 de diciembre de 2024, y los artículos clave (5, 8, 9 y Título VII) junto con los reglamentos complementarios entraron en vigor el 1 de marzo de 2025. La calificación progresiva de Operadores de Importancia Vital continúa en curso durante 2026 y siguientes.

¿Qué establece la Ley 21.663 sobre el marco de ciberseguridad?

Establece un sistema nacional de ciberseguridad coordinado por ANCI, con obligaciones operativas exigibles para organismos del Estado y operadores privados que prestan servicios esenciales. Define la figura del Operador de Importancia Vital, exige designación de un encargado de ciberseguridad, gestión documentada de riesgos, controles técnicos mínimos verificables, reporte de incidentes al CSIRT Nacional en plazos definidos, y se apoya en frameworks internacionales como NIST CSF y la directiva europea NIS2 como referencia.

¿Mi empresa califica como Operador de Importancia Vital?

Califica como OIV una organización cuyo funcionamiento impacta directamente la seguridad nacional, el orden público, el abastecimiento, la economía o la defensa, y cuya interrupción tendría consecuencias significativas más allá de la propia empresa. La ANCI realiza la calificación formal mediante resolución administrativa, considerando sector, escala de operación, número de personas afectadas y criticidad del servicio. Si recibiste notificación, eres OIV. Si tu sector está en el listado preliminar (telecom, energía, salud, banca, transporte, agua, servicios digitales críticos), trata el tema como prioritario aunque no hayas recibido aún la notificación formal.

¿Qué relación tiene con la Ley 21.719 de protección de datos?

La Ley 21.663 (ciberseguridad) y la Ley 21.719 (protección de datos personales) son complementarias y muchas empresas tendrán que cumplir las dos al mismo tiempo. La primera se enfoca en la protección operativa de servicios e infraestructura crítica; la segunda regula el tratamiento de datos personales con un esquema tipo GDPR. La Ley 21.719 entra en vigor en diciembre de 2026, por lo que el período 2025-2026 es clave para preparar ambos cumplimientos de forma articulada y no como esfuerzos paralelos sin conexión.

¿Necesitas demostrar control sobre tus endpoints ante una auditoría de ANCI?

Prey te da el inventario always-on cross-OS, la evidencia operativa de cifrado y bloqueo, y la trazabilidad de acciones de respuesta que la Ley 21.663 exige. Sin la complejidad de plataformas enterprise, sin contratos largos, con soporte humano real.

Pedir una demo

Sobre el mismo tema

Datos personales y sensibles bajo Ley 21.719
Datos personales y sensibles bajo Ley 21.719

Diferencia entre datos personales y sensibles bajo la Ley 21.719 de Chile. Qué controles operativos activa cada categoría en tu flota de dispositivos.

Jun 2, 2026
Continuar leyendo
Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI
Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI

Ley 21.663 ya está vigente desde marzo 2025. Artículos en vigor, evidencia mínima exigible y plan 30/60/90 para demostrar cumplimiento ante ANCI.

May 26, 2026
Continuar leyendo
Privacidad por diseño y por defecto: guía Ley 21.719 para IT
Privacidad por diseño y por defecto: guía Ley 21.719 para IT

Qué exige la Ley 21.719 sobre privacidad por diseño y por defecto, dónde se rompe en la práctica y cómo demostrar cumplimiento operativo en endpoints chilenos.

May 25, 2026
Continuar leyendo