Cumplimiento Ley 21.719 en Chile: Preparación empresarial para normativa de ciberseguridad

La Cuenta Regresiva al 2026: ¿Está su empresa lista para cumplir con la Ley 21.719?

El 1 de diciembre de 2026 comenzará a regir plenamente la Ley 21.719, que moderniza la protección de datos personales y crea la Agencia de Protección de Datos Personales en Chile.

Esta ley marca un punto de inflexión: los datos ya no son vistos solo como “información” que circula dentro de la empresa, sino como un activo estratégico protegido por ley. Y al igual que cualquier activo crítico, requiere medidas de seguridad robustas, procesos claros y una gobernanza sólida.

“Todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.” (Art. 1, Ley 21.719)

Esto significa que la seguridad no es una buena práctica recomendada: es una obligación legal, con sanciones y responsabilidades asociadas.

La pregunta que cada organización debería hacerse es: ¿estamos preparados para cumplir, demostrar y sostener estos estándares en el tiempo?

  1. Un Principio de Seguridad Inquebrantable

“El responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción.” (Art. 3, letra f, Ley 21.719)

La ley establece que la seguridad debe ser constante, proporcional al riesgo y adaptable al tipo de datos que se maneja. No se trata de instalar un antivirus y pensar que ya está todo cubierto.

Preguntas que toda empresa debería hacerse:

  • ¿Qué tan rápido podríamos recuperar nuestros sistemas si mañana sufrimos un ataque de ransomware?
  • ¿Estamos controlando que solo las personas autorizadas accedan a los datos críticos?
  • ¿Nuestros clientes confiarían en que su información está realmente protegida?

Soluciones a considerar:

  • Planes de recuperación ante desastres (DRP): permiten que, incluso tras un ataque o un fallo grave, la empresa vuelva a operar sin pérdida masiva de datos.
  • Gestión de identidad y acceso (IAM): evita accesos indebidos mediante políticas claras de quién puede ver y hacer qué.
  • Protección avanzada de dispositivos (EDR/XDR): detecta y bloquea comportamientos maliciosos en tiempo real, mucho más allá de lo que logra un antivirus básico.
    (Ejemplos en el mercado: Kaspersky Next EDR Optimum, SentinelOne, CrowdStrike, entre otros).
  1. Cifrado y Verificación Continua

“Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia (…) que en su caso incluya: la seudonimización y el cifrado de datos personales (…) y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas.” (Art. 14 quinquies, Ley 21.719)

La norma exige que las medidas de seguridad no solo existan, sino que sean efectivas, auditables y demostrables.

Preguntas que debería hacerse:

  • ¿Toda la información sensible viaja y se almacena de forma cifrada?
  • ¿Podemos generar reportes que prueben que nuestras medidas de seguridad funcionan?
  • ¿Nuestras aplicaciones se actualizan de forma automática para evitar vulnerabilidades conocidas?

Soluciones a considerar:

  • Cifrado en reposo y en tránsito: protege datos aunque sean interceptados.
  • Monitoreo centralizado (SIEM): concentra todos los registros de seguridad y permite auditar la eficacia de las medidas.
  • Gestión de parches: evita que sistemas desactualizados se conviertan en puertas de entrada.
    (Ejemplos: Microsoft Purview Compliance Manager, Splunk, IBM QRadar, Elastic SIEM).
  1. El Deber de Notificación en 72 Horas

“El responsable deberá reportar a la Agencia (…) sin dilaciones indebidas, las vulneraciones (…) cuando exista un riesgo razonable para los derechos y libertades de los titulares.” (Art. 14 sexies, Ley 21.719)

El plazo máximo para notificar una brecha es de 72 horas. Esto obliga a que las empresas cuenten con sistemas que detecten incidentes casi en tiempo real y procesos para responder sin titubeos.

Preguntas que debería hacerse:

  • ¿Cómo nos enteraríamos si hoy un atacante accede a nuestra red? ¿Sería en horas, días o semanas?
  • ¿Existe un plan escrito que defina quién comunica a la Agencia, cómo y con qué información?
  • ¿Estamos preparados para documentar técnicamente un incidente en el mismo momento que ocurre?

Soluciones a considerar:

  • Planes de respuesta a incidentes (IRP): protocolos definidos y probados que evitan improvisaciones.
  • Monitoreo y alertas inmediatas: reducen drásticamente el tiempo entre el ataque y la reacción.
  • Registros forenses: permiten reconstruir lo ocurrido y cumplir con la obligación de informar detalles.
    (Ejemplos: soluciones de SIEM y EDR de Kaspersky, SentinelOne, Palo Alto, Cisco SecureX).
  1. Evaluación de Impacto y Cumplimiento Avanzado

“Cuando sea probable que un tipo de tratamiento (…) pueda producir un alto riesgo para los derechos de las personas titulares, el responsable deberá realizar (…) una evaluación del impacto.” (Art. 15 ter, Ley 21.719)

Las empresas deberán realizar evaluaciones de impacto antes de iniciar operaciones que involucren grandes volúmenes de datos o información especialmente sensible.

Preguntas que debería hacerse:

  • ¿Analizamos los riesgos de privacidad y seguridad antes de iniciar nuevos proyectos digitales?
  • ¿Tenemos herramientas que nos ayuden a clasificar datos sensibles y aplicar políticas automáticas?
  • ¿Realizamos auditorías periódicas de gobernanza de datos?

Soluciones a considerar:

  • Plataformas de cumplimiento y gobernanza: ayudan a mapear riesgos y demostrar cumplimiento.
  • Auditorías regulares: permiten identificar brechas a tiempo.
  • Zero Trust: modelo de seguridad donde nada ni nadie se asume “de confianza” hasta ser validado.
    (Ejemplos: Microsoft Purview, Cloudflare).
  1. Protección Reforzada de Datos Sensibles

“El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular (…) manifiesta su consentimiento en forma expresa.” (Art. 16, Ley 21.719)

Los datos sensibles (salud, biometría, religión, menores) requieren medidas adicionales, no basta con la protección general.

Preguntas que debería hacerse:

  • ¿Estamos aplicando cifrado específico a la información crítica que manejamos?
  • ¿Hemos restringido el acceso a datos sensibles a un grupo reducido de personas autorizadas?
  • ¿Contamos con herramientas para evitar fugas accidentales (ej. envío por correo no autorizado)?

Soluciones a considerar:

  • Cifrado de extremo a extremo (E2EE): protege tanto en tránsito como en almacenamiento.
  • Prevención de fuga de datos (DLP): evita filtraciones intencionales o accidentales.
  • Controles de acceso + MFA: aseguran que solo las personas correctas tengan acceso.
    (Ejemplos: Symantec DLP, Acronis Cyber Protect, Forcepoint, Microsoft DLP).

Conclusión: más allá del cumplimiento, una ventaja competitiva

La Ley 21.719 no es solo un marco regulatorio: es un llamado a modernizar la forma en que las organizaciones gestionan y protegen los datos.

Las empresas que se adelanten no solo evitarán multas, sino que ganarán confianza de clientes, inversionistas y socios estratégicos. En un mercado cada vez más digital, demostrar que se protege la información es una ventaja competitiva real.

Las tecnologías disponibles son múltiples: desde soluciones de cifrado y monitoreo, hasta herramientas de gobernanza, respuesta a incidentes y prevención de fugas. Existen alternativas de distintos proveedores globales —Kaspersky, Microsoft, Acronis, SentinelOne, Palo Alto, entre otros— y el verdadero desafío no es elegir “una marca”, sino definir la estrategia correcta para cada organización.

Por eso, la clave está en comenzar hoy: diseñar una estrategia de seguridad y cumplimiento que evolucione junto a tu negocio, fortaleciendo no solo la protección de datos, sino también la confianza de quienes confían en ti.

En ihosting creemos que la seguridad no se trata solo de tecnología, sino de acompañamiento, visión y compromiso a largo plazo. Nuestra labor es ayudarte a construir esa base sólida que te permita anticiparte a los riesgos y cumplir con los nuevos estándares sin perder agilidad ni competitividad.

Si quieres dar el siguiente paso hacia una gestión más segura y confiable, conversemos.
Escríbenos a comercial@ihosting.cl o agenda una reunión a través de nuestro formulario de contacto.

Acerca de iHosting

En ihosting conectamos negocios y potenciamos posibilidades a través de infraestructura en la nube, segura y escalable, con el propósito de apoyar el crecimiento digital de nuestros clientes mediante soluciones innovadoras.

Con más de 20 años de experiencia en el mercado, ofrecemos servicios de hostinginfraestructura en la nubeciberseguridadconectividad y productividad, diseñados para acompañar el crecimiento de empresas de todos los tamaños.

Brindamos una experiencia personalizada y siempre disponible, con rápida capacidad de respuesta, presencia local y un compromiso constante con la innovación tecnológica.