Chile Cibersegura: Nuevas leyes de Ciberseguridad y Protección de Datos.
En 2024, Chile da un paso adelante en la protección de su entorno digital con la promulgación de la Ley Marco de Ciberseguridad (Ley N° 21.663) y la reforma a la Ley de Protección de Datos Personales (Ley N° 19.628). Ambas normativas responden a la creciente necesidad de seguridad en un mundo interconectado, y establecen nuevas obligaciones para las organizaciones públicas y privadas.
A continuación, exploramos los aspectos clave de cada ley y sus implicaciones para el sector corporativo.
¿A quiénes alcanzan?
- Ley Marco de Ciberseguridad: Aplica a instituciones públicas y privadas que prestan servicios esenciales como energía, telecomunicaciones, bancos, transporte, infraestructura digital y salud. Las organizaciones de importancia vital (aquellas cuya operación depende de redes y sistemas informáticos) también deben cumplir con requisitos adicionales.
- Ley de Protección de Datos Personales: Impacta a todas las organizaciones que procesan o almacenan datos personales de ciudadanos chilenos, desde grandes corporaciones hasta PyMEs.
¿Qué exigen?
- Ley Marco de Ciberseguridad
- Implementar un Sistema de Gestión de Seguridad de la Información (SGSI), asegurando que cuentan con los mecanismos adecuados para prevenir, detectar y mitigar incidentes de ciberseguridad.
- Contar con planes de continuidad operativa probados, certificados y revisados de forma recurrente.
- Reportar incidentes dentro de plazos estrictos: hay varios escenarios, entre ellos la emisión de una alerta temprana dentro de 3 horas, una actualización a las 72 horas y un informe final a los 15 días del incidente.
- Capacitar continuamente al personal en ciberseguridad.
- Contar con un delegado de ciberseguridad que actúe como enlace con las autoridades.
- Ley de Protección de Datos Personales:
- Implementar medidas de seguridad adecuadas según la naturaleza y el riesgo asociado al tratamiento de datos. Estas medidas incluyen seudonimización, cifrado, y la capacidad de restaurar la información en caso de incidentes.
- Notificar violaciones de seguridad a la Agencia de Protección de Datos y a los usuarios afectados sin demoras injustificadas.
- Realizar evaluaciones de impacto en protección de datos en situaciones de alto riesgo, como el tratamiento de datos sensibles o masivos.
¿Cuáles son las sanciones por incumplimiento?
En ambas leyes las infracciones se dividen en leves, graves y gravísimas.
- La Ley Marco de Ciberseguridad contempla multas que van desde 5.000 UTM (aprox. 370.000 USD) hasta 40.000 UTM (aprox. 2,96 millones de USD).
- La Ley de Protección de Datos Personales contempla desde amonestaciones escritas para las infracciones más leves hasta multas de 20.000 UTM (aprox. 740.000 USD).
Además, si una organización no subsana las infracciones en un plazo de 60 días, la multa puede tener un recargo del 50%. En caso de reincidencia, la multa puede ser hasta tres veces el monto original.
¿Cómo empezar a adecuarse y evidenciar cumplimiento con las leyes?
- Diagnóstico: Realizar un análisis detallado para comparar el estado actual de la organización con las exigencias de las nuevas normativas. Este paso es crucial para identificar brechas y priorizar la implementación de medidas.
- Inventario de activos y datos: Tener un inventario claro de los datos y sistemas críticos es el primer paso para protegerlos. La clasificación de la información permitirá determinar qué controles de seguridad aplicar.
- Cultura organizacional y capacitación: Ambas normativas destacan la importancia de capacitar al personal en ciberseguridad y protección de datos personales. Es necesario implementar programas que abarquen todos los niveles de la organización.
Conclusiones
El 2024 marca un año clave en la modernización del marco regulatorio de Chile en ciberseguridad y protección de datos. Las organizaciones deberán prepararse para cumplir con nuevas exigencias y evitar sanciones que pueden alcanzar hasta 2,96 millones de dólares en ciberseguridad y 740.000 dólares en protección de datos.
El éxito en este nuevo entorno regulatorio dependerá de la anticipación: evaluar tecnologías, personas y procesos; fortalecer políticas y; capacitar al personal serán pasos esenciales para cumplir con los requerimientos legales y garantizar la debida gestión de riesgos de ciberseguridad.
¿Está su organización preparada para este nuevo escenario?
Solicite una reunión para iniciar su plan de adecuación 👉🏼 agende una reunión 💬