Comparativa: Ley 21.663 (Ciberseguridad) vs Ley 21.719 (Datos Personales)
Análisis comparativo de las dos leyes clave de seguridad digital en Chile: la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales. Dos leyes, un mismo objetivo: confianza digital.
Dos leyes, un mismo objetivo: confianza digital
Chile cuenta hoy con dos marcos legales fundamentales para la seguridad digital:
- La Ley de Protección de Datos Personales (Ley 21.719) cuida la información de las personas
- La Ley Marco de Ciberseguridad (Ley 21.663) cuida la resiliencia del país
Ambas se complementan, pero no son lo mismo ni se reemplazan. Entender sus diferencias y puntos de convergencia es clave para cualquier organización que busque cumplimiento integral.
Ley 21.719: Protección de Datos Personales
El qué y el para quién
Esta ley se enfoca en los datos personales: qué datos se recolectan, para qué se usan, quién puede acceder a ellos y cuáles son los derechos del titular.
Es como regular qué objetos personales puedes guardar, usar o compartir, y bajo qué reglas.
Ámbito de aplicación
- Datos de clientes, ciudadanos, pacientes o trabajadores
- Consentimiento informado para el tratamiento
- Derechos ARCO: acceso, rectificación, cancelación y oposición
- Nuevos derechos: portabilidad y decisiones automatizadas
- Obligación de confidencialidad y minimización de datos
Enfoque principal
Privacidad y derechos fundamentales de las personas.
Autoridad fiscalizadora
Agencia de Protección de Datos Personales — organismo autónomo con facultades de fiscalización y sanción.
Régimen sancionatorio
| Categoría | Sanción máxima |
|---|---|
| Leve | Sanción menor |
| Grave | Sanción intermedia |
| Gravísima | Hasta 20.000 UTM |
Ley 21.663: Marco de Ciberseguridad
El cómo y la continuidad
Esta ley se enfoca en la seguridad operacional y la resiliencia digital del Estado y de los servicios esenciales.
Es como exigir que el edificio esté preparado contra incendios, tenga planes de evacuación y no colapse ante un desastre.
Ámbito de aplicación
- Gestión de incidentes de ciberseguridad
- Continuidad operacional de servicios esenciales
- Medidas técnicas y organizativas mínimas
- Reporte obligatorio de incidentes
- Designación de delegado de ciberseguridad
- Supervisión de la autoridad (ANCI)
Enfoque principal
Disponibilidad, integridad y seguridad de sistemas críticos.
Autoridad fiscalizadora
Agencia Nacional de Ciberseguridad (ANCI) — organismo técnico con facultades para regular, fiscalizar y sancionar.
Régimen sancionatorio
| Categoría | Sanción máxima |
|---|---|
| Leve | Hasta 5.000 UTM |
| Grave | Hasta 10.000 UTM |
| Gravísima | Hasta 20.000 UTM |
| OIV o reincidencia | Hasta 40.000 UTM |
Comparativa directa
| Aspecto | Ley 21.719 (Datos Personales) | Ley 21.663 (Ciberseguridad) |
|---|---|---|
| Objetivo | Proteger datos personales y privacidad | Proteger sistemas críticos y resiliencia digital |
| Enfoque | El dato y los derechos del titular | La infraestructura y la continuidad operacional |
| Aplica a | Toda organización que trate datos personales | Servicios esenciales, OIV y sector público |
| Autoridad | Agencia de Protección de Datos Personales | Agencia Nacional de Ciberseguridad (ANCI) |
| Multa máxima | 20.000 UTM | 40.000 UTM |
| Derechos | ARCO + portabilidad + decisiones automatizadas | Reporte de incidentes, continuidad, gobernanza |
| Obligación clave | Consentimiento, accountability, EIPD | Gestión de riesgos, detección, respuesta, reporte |
| Vigencia | 1 de diciembre de 2026 | Vigente |
| Símil | Regula qué objetos personales puedes guardar y compartir | Exige que el edificio resista incendios y tenga plan de evacuación |
¿Cómo se conectan en la práctica?
Un ciberataque puede activar ambas leyes simultáneamente:
-
Se vulnera un sistema → se activa la Ley Marco de Ciberseguridad (Ley 21.663)
- Notificación a ANCI
- Activación del plan de respuesta a incidentes
- Contención y recuperación
- Reporte dentro de plazos legales
-
Se exponen datos personales → se activa la Ley de Protección de Datos (Ley 21.719)
- Notificación a la Agencia de Protección de Datos
- Comunicación a los titulares afectados
- Evaluación del impacto en los derechos de las personas
- Documentación de las medidas adoptadas
Ejemplo práctico: ransomware en un hospital
| Consecuencia | Ley activada | Obligación |
|---|---|---|
| Sistemas clínicos caídos | Ley 21.663 | Reporte a ANCI, plan de continuidad, contención |
| Fichas médicas exfiltradas | Ley 21.719 | Notificación a Agencia de Datos, aviso a pacientes |
| Servicio esencial interrumpido | Ley 21.663 | Activación BC/DR, coordinación con CSIRT |
| Datos sensibles expuestos públicamente | Ley 21.719 | Evaluación de impacto, medidas correctivas |
Cumplir una no exime de cumplir la otra
Este es el punto más importante para la alta dirección: el cumplimiento no es selectivo. Una organización que gestiona datos personales y opera servicios esenciales debe cumplir con ambas leyes en paralelo.
Implicancias para la gobernanza corporativa
- Dos delegados o un rol integrado: delegado de ciberseguridad (Ley 21.663) y responsable de protección de datos (Ley 21.719) pueden ser roles separados o un mismo perfil con competencias duales
- Dos autoridades fiscalizadoras: ANCI y Agencia de Protección de Datos operan de forma independiente pero complementaria
- Dos regímenes sancionatorios: las multas se aplican de forma independiente; un mismo incidente puede generar sanciones bajo ambas leyes
- Un solo programa de cumplimiento integrado: la estrategia más eficiente es diseñar un programa que aborde ambos marcos de forma coordinada
Recomendaciones para un cumplimiento integrado
- Mapear las obligaciones de ambas leyes y sus puntos de convergencia
- Unificar el inventario de activos críticos y datos personales
- Diseñar un plan de respuesta a incidentes que contemple las notificaciones a ambas autoridades
- Integrar las evaluaciones de riesgo de ciberseguridad con las evaluaciones de impacto en privacidad
- Capacitar al personal en ambos marcos legales de forma conjunta
- Documentar la evidencia de cumplimiento de manera centralizada para estar preparados ante cualquier fiscalización
Conclusión
La Ley 21.663 y la Ley 21.719 representan los dos pilares de la confianza digital en Chile. Una protege la resiliencia de los sistemas; la otra protege los derechos de las personas. Juntas, definen un nuevo estándar de responsabilidad para las organizaciones chilenas.
La pregunta ya no es si hay que cumplir, sino cómo hacerlo de forma eficiente e integrada. Las organizaciones que logren articular ambos cumplimientos en un programa único tendrán una ventaja significativa: no solo evitarán sanciones, sino que construirán confianza real con sus stakeholders.
Fuente: Análisis basado en la Ley 21.663 Marco de Ciberseguridad y la Ley 21.719 de Protección de Datos Personales. Para consultas sobre cumplimiento, visite TTPSEC SpA.