Skip to content

Durante décadas, la gestión de riesgos en Chile se ha caracterizado por un enfoques compartimentados. La ciberseguridad residía en TI; la protección de datos, en Fiscalía; y la seguridad física, en Operaciones. Este modelo tradicional ya no es viable y genera vulnerabilidades críticas para el negocio.

Estamos frente a un nuevo paradigma operativo que exige coordinar múltiples normativas de forma coherente y eficiente. Las recientes leyes no operan de forma aislada; se superponen y están profundamente interconectadas:

  1. Ley Marco de Ciberseguridad (N° 21.663)
  2. Modernización de la Ley de Protección de Datos Personales (N° 21.719)
  3. Nueva Ley de Seguridad Privada (N° 21.659)

A esto se suma la Ley de Delitos Económicos (N° 21.595), que impacta directamente la responsabilidad de la alta dirección en estas materias.

el efecto dominó regulatorio

En este nuevo contexto, un solo incidente puede desencadenar una crisis regulatoria en múltiples frentes simultáneamente.

Ejemplo paradigmático: Sistemas de CCTV

Consideremos un sistema de cámaras de seguridad (CCTV).

  • Visión Tradicional (Operaciones): Es una herramienta de seguridad física para prevenir robos.
  • Visión Actual (Regulatoria):
    1. Es un sistema que trata "datos personales" (imágenes de personas), sujeto a la Ley N° 21.719.
    2. Es una "red y sistema informático" que debe protegerse de ciberataques, sujeto a la Ley N° 21.663.
    3. Es una medida de seguridad que debe cumplir estándares técnicos específicos, sujeto a la Ley N° 21.659.

Una falla en la gestión de ese sistema (por ejemplo, un acceso no autorizado a las grabaciones debido a una contraseña débil) puede derivar en investigaciones y sanciones simultáneas de tres agencias distintas: la Agencia de Protección de Datos Personales (APDP), la Agencia Nacional de Ciberseguridad (ANCI) y la autoridad de Seguridad Privada (Carabineros de Chile/Subsecretaría de Prevención del Delito).


Un Desafío de Gobernanza Corporativa

El desafío, por tanto, ha dejado de ser puramente técnico, legal u operativo de manera aislada. Se ha transformado en un problema complejo de gobernanza corporativa, cuya supervisión y responsabilidad recaen directamente en el Directorio.

La única respuesta estratégica viable es abandonar la gestión en silos y adoptar un modelo de riesgos integrado. Las empresas requieren con urgencia una visión unificada, donde tecnología, fiscalía y operaciones colaboren bajo una supervisión centralizada, gestionando la seguridad como un ecosistema cohesivo. La adaptación a este nuevo escenario no es opcional; es un imperativo regulatorio.

Noticias relacionadas

Guía Básica de la Nueva Ley de Datos (N° 21.719): Definiciones y Principios Fundamentales

La nueva Ley de Protección de Datos Personales cambia las reglas del juego en Chile, otorgando a las personas un control real sobre su información y creando una autoridad fuerte para fiscalizar su cumplimiento. A continuación, se explican los conceptos esenciales de la normativa.

Más Allá de la Multa: Cuándo un Ciberataque se Transforma en un Hecho Esencial para la CMF

El panorama de riesgos tras un ataque informático ha cambiado drásticamente. Anteriormente, el costo se medía principalmente en términos operativos. Hoy, la Ley Marco de Ciberseguridad (N° 21.663) y la Ley de Protección de Datos Personales (N° 21.719) añaden el riesgo de multas administrativas significativas.

Sin embargo, limitar el análisis a estas dos aristas es insuficiente. El riesgo se extiende a otros ámbitos regulatorios críticos:

  1. Delitos Económicos: Los efectos de la Ley N° 21.595 si el incidente constituye un delito informático y revela fallas en los modelos de prevención de la empresa.
  2. Responsabilidad ante el Mercado de Capitales: Para las sociedades anónimas abiertas y entidades registradas ante la Comisión para el Mercado Financiero (CMF), la obligación de informar al mercado.

Sistemas de CCTV y sus Desafíos Regulatorios

Históricamente, los sistemas de circuito cerrado de televisión (CCTV) han sido gestionados como herramientas pasivas, responsabilidad exclusiva del área de operaciones o seguridad física. Bajo el nuevo marco legal chileno, esta visión es insuficiente y expone a la organización a riesgos significativos.

Los sistemas de CCTV ilustran perfectamente la convergencia de las nuevas normativas. Un solo sistema de cámaras genera hoy una triple obligación regulatoria y, consecuentemente, un triple riesgo de sanción.