Saltar al contenido principal
PrivacidadWeb
Legal9 min de lectura·

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

P

PrivacidadWeb

PrivacidadWeb.cl

Chile pasó de tener cero autoridades especializadas en ciberseguridad y protección de datos a tener dos en menos de dos años. La Agencia Nacional de Ciberseguridad (ANCI) opera desde el 1 de enero de 2025. La Agencia de Protección de Datos Personales (APDP) entrará en operación el 1 de diciembre de 2026. Las dos son frecuentemente confundidas en webinars, conversaciones de directorio y notas de prensa: "la nueva agencia que fiscaliza", como si fueran lo mismo. No lo son.

Esta guía aclara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál corresponde notificar cuando ocurre un incidente y cómo se coordinan en casos donde aplican las dos. Si lo que buscas es comparar las leyes (no las agencias), lee la comparativa específica entre Ley 21.663 y Ley 21.719. Si quieres profundizar en la APDP por separado, hay un post dedicado.

Una sola línea para distinguirlas. ANCI protege la continuidad de servicios críticos; APDP protege los datos personales de las personas. Pueden coincidir en algunos casos (un banco con brecha de datos los activa a las dos), pero su objeto y sujetos obligados son distintos.

Tabla comparativa

| Aspecto | ANCI | APDP | |---|---|---| | Ley creadora | Ley 21.663 (Marco de Ciberseguridad), Título III | Ley 21.719 (Protección de Datos Personales) | | Inicio operativo | 1 de enero de 2025 | 1 de diciembre de 2026 (proyección) | | Misión | Proteger continuidad y seguridad de servicios esenciales e infraestructura crítica | Proteger derechos de los titulares de datos personales | | A quién fiscaliza | Servicios Esenciales (SE) y Operadores de Importancia Vital (OIV) designados | Toda persona natural o jurídica que trate datos personales | | Multa máxima | 40.000 UTM (gravísima OIV) / 20.000 UTM (gravísima SE) | Hasta 20.000 UTM general; 2-4% ingresos en reincidencia no-Pyme | | Plazo notificación incidente | 3 horas alerta inicial al CSIRT Nacional | "Sin dilaciones indebidas" (sin plazo numérico fijo) | | ¿Operativa hoy? | Sí, pero con Director(a) subrogante y sin sanciones firmes a la fecha | No — designación del Consejo Directivo en proceso | | Sitio oficial | anci.gob.cl | (En constitución) |

ANCI — Agencia Nacional de Ciberseguridad

Qué es

Servicio público fiscalizador creado por el Título III de la Ley 21.663. Su misión es velar por la ciberseguridad del país, definida como la preservación de confidencialidad, integridad, disponibilidad y resiliencia de la información y los sistemas de información.

Cuándo se constituyó

La ANCI inició operaciones el 1 de enero de 2025. El primer Director Nacional fue Daniel Álvarez Valenzuela, designado por el Presidente Gabriel Boric el 2 de enero de 2025. A mayo de 2026, la directora subrogante es Michelle Bordachar Benoit mientras se desarrolla el proceso de Alta Dirección Pública para el director titular permanente.

Estructura interna

El Decreto N° 483 de 2024 del Ministerio del Interior, publicado en el Diario Oficial el 21 de febrero de 2025, aprobó el reglamento de estructura interna de la ANCI:

  • Dirección Nacional (jefatura del servicio).
  • Subdirección Nacional con funciones de fiscalización y sanciones.
  • División CSIRT Nacional (Equipo Nacional de Respuesta a Incidentes de Seguridad Informática).
  • División de Vinculación con el Medio.
  • División Jurídica.
  • División de Administración y Finanzas.
  • Oficinas de Auditoría Interna y Seguridad de la Información (CISO), dependientes de la Dirección.

A quién fiscaliza

A los Servicios Esenciales definidos en el Art. 4° de la Ley 21.663 (eléctrico, combustibles, agua, telecom, infra digital, financiero, salud, transporte, etc.) y a los Operadores de Importancia Vital (OIV) designados por la propia ANCI mediante resolución exenta.

La primera nómina de OIV se publicó en el Diario Oficial el 17 de diciembre de 2025 (Resolución Exenta N° 87) e incluye 915 instituciones: 147 eléctricas, 29 telecom, 413 servicios digitales/TI, 34 banca/financiero/medios pago, 114 salud, 20 empresas públicas, 158 organismos del Estado. Una segunda nómina preliminar de 372 instituciones está en consulta pública desde el 24 de abril de 2026 (combustibles, agua, transporte, postales, farmacéutico, seguridad social).

Reglamentos e instrucciones generales clave

  • D.S. 295/2024 — Reglamento de Reporte de Incidentes (Diario Oficial 1-MAR-2025).
  • Decreto 483/2024 — Estructura interna de la ANCI (D.O. 21-FEB-2025).
  • Instrucción General N° 2 — Registro en plataforma del CSIRT Nacional (D.O. 26-DIC-2025).
  • Instrucción General N° 3 — Designación del Delegado de Ciberseguridad (D.O. 26-DIC-2025).
  • Instrucción General N° 4 — Medidas de respuesta inmediata ante incidentes (D.O. 26-DIC-2025).

Régimen sancionatorio

Multas máximas en UTM:

| Categoría | Servicio Esencial | Operador de Importancia Vital | |---|---|---| | Leve | hasta 5.000 UTM | hasta 10.000 UTM | | Grave | hasta 10.000 UTM | hasta 20.000 UTM | | Gravísima | hasta 20.000 UTM | hasta 40.000 UTM |

Descuento del 25% si la multa se paga en Tesorería General dentro de los 5 días siguientes a su notificación. A mayo de 2026 no hay resoluciones sancionatorias firmes publicadas del Título VII — la ANCI está en fase de fiscalización y de instrucciones generales más que de aplicación de sanciones.

Contacto operativo

  • Sitio oficial: anci.gob.cl
  • Email general: ayuda@anci.gob.cl
  • Oficina de Partes: oficinadepartes@anci.gob.cl
  • Teléfono: 1510

El sitio oficial publica solo "Santiago, Chile" como ubicación física de la ANCI sin calle ni número. Cualquier dirección específica que circule no es información oficial verificada.

APDP — Agencia de Protección de Datos Personales

Qué es

Autoridad de control creada por la Ley 21.719 (que modifica la Ley 19.628). Tendrá facultades de fiscalización, investigación, sanción y resolución de reclamos en todo lo relativo a la protección de datos personales en Chile.

Cuándo se constituye

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y establece su vigencia plena el 1 de diciembre de 2026. La Ley 21.806 publicada el 5 de febrero de 2026 adelantó la designación del Consejo Directivo de la APDP a antes del 1 de junio de 2026.

Estado actual a mayo 2026

  • Consejo Directivo: los tres consejeros aún no han sido designados públicamente. La Ley 21.806 incluye un mecanismo de "silencio" del Senado: si no se pronuncia en los plazos, la propuesta presidencial se entiende aceptada.
  • Asunción proyectada: octubre de 2026 según fuentes especializadas.
  • Director(a) Ejecutivo: no designado a la fecha.
  • Fiscalización: no operativa todavía. Hasta el 30 de noviembre de 2026 sigue rigiendo el régimen de la Ley 19.628 original, con tutela judicial directa ante juez de letras civil.
  • Reglamento del Art. 26 (transferencias internacionales / cláusulas modelo): sometido a Contraloría General de la República para toma de razón, sin publicación en Diario Oficial al cierre de esta guía.

La Comisión Asesora Ministerial que estudió la implementación de la nueva ley cerró su trabajo en enero de 2026 con un informe final con recomendaciones operativas.

A quién fiscalizará

A toda persona natural o jurídica que trate datos personales en Chile. Universalmente para pymes desde diciembre 2026.

Régimen sancionatorio (vigente desde 1-DIC-2026)

| Categoría | Multa máxima | |---|---| | Leve | hasta 5.000 UTM | | Grave | hasta 10.000 UTM | | Gravísima | hasta 20.000 UTM | | Reincidencia (no-Pyme + grave/gravísima) | 2% (graves) o 4% (gravísimas) de los ingresos anuales por ventas y servicios |

Régimen Pyme transitorio durante los primeros 12 meses (1-DIC-2026 a 1-DIC-2027): la APDP podrá aplicar amonestación escrita en lugar de multa para empresas calificadas como "de menor tamaño" según la Ley 20.416.

¿A cuál notificar un incidente?

La pregunta operativa más importante. Depende del tipo de afectación y la calificación de tu empresa.

Caso 1: incidente de ciberseguridad sin afectación de datos personales

Por ejemplo, un ransomware que cifra los servidores administrativos de un proveedor designado OIV pero sin acceso a datos de personas naturales.

  • Si eres SE/OIV: notificar a la ANCI vía CSIRT Nacional con plazo de 3 horas.
  • Si NO eres SE/OIV: sin obligación regulatoria de notificar a ninguna autoridad (sin perjuicio de obligaciones contractuales con clientes o aseguradoras).

Caso 2: vulneración de datos personales sin compromiso de servicios esenciales

Por ejemplo, una pyme de retail que sufre filtración de su base de clientes.

  • Notificar a la APDP según el Art. 14 sexies de la Ley 21.719: "por los medios más expeditos posibles y sin dilaciones indebidas". Esto desde el 1-DIC-2026. Antes de esa fecha, sigue el régimen de la Ley 19.628 (sin obligación de notificar a una autoridad administrativa, pero sí registro interno y posibles acciones judiciales del titular).
  • No corresponde notificar a la ANCI porque no eres SE/OIV.

Caso 3: incidente que afecta servicios esenciales y datos personales simultáneamente

Por ejemplo, un banco (designado OIV y responsable de datos) sufre un ataque que afecta la operación de pagos electrónicos y filtra datos de clientes.

  • Notificar a la ANCI dentro de 3 horas (alerta inicial), 24 horas (reporte intermedio en OIV con SE afectado) y 15 días (informe final).
  • Adicionalmente, notificar a la APDP sin dilaciones indebidas (desde 1-DIC-2026) si hay datos personales comprometidos.
  • Si los datos comprometidos son sensibles, de niños y niñas menores de 14 años o económicos/financieros/bancarios/comerciales, también notificar a los titulares afectados.

Tener un protocolo único de respuesta que active los dos flujos en paralelo es crítico para empresas en doble régimen. La herramienta de Protocolo de Vulneraciones genera el plan escrito en menos de 10 minutos.

Caso 4: relación de consumo afectada

Por ejemplo, un retailer cuyos clientes consumidores reclaman por mal uso de sus datos.

  • Hasta el 30 de noviembre de 2026: SERNAC sigue siendo competente sobre datos personales en relación de consumo (Art. 15 bis Ley 19.496 vigente). El caso Banco Santander Chile ilustra: filtración de datos de mayo 2024 → SERNAC abrió Procedimiento Voluntario Colectivo → cerró sin acuerdo → demanda colectiva ingresada el 19 de febrero de 2026.
  • Desde el 1-DIC-2026: SERNAC pierde competencia sobre datos personales en relación de consumo. La Ley 21.719 deroga el Art. 15 bis Ley 19.496, traspasando la competencia exclusivamente a la APDP.

Coordinación entre ANCI y APDP

La Ley 21.663 prevé mecanismos de coordinación con otros organismos del Estado, lo que incluye a la APDP futura. En la práctica:

  • Casos OIV con datos personales: la ANCI fiscaliza la respuesta operacional al incidente y la APDP fiscaliza el cumplimiento del deber de notificación al titular y la diligencia en medidas de seguridad. Ambas pueden imponer sanciones independientes — una empresa puede ser sancionada por ambas por el mismo incidente desde ángulos distintos.
  • Casos sin datos personales: solo ANCI (y solo si eres SE/OIV).
  • Casos sin servicios esenciales: solo APDP.
  • Comité Interministerial sobre Ciberseguridad: existe a nivel de gobierno y se proyecta como espacio de coordinación entre autoridades. La Directora subrogante de la ANCI lo preside.

Importante para empresas que operan en doble régimen: los plazos son distintos y los criterios de calificación de gravedad también. Lo que para ANCI es "operacionalmente crítico" para APDP puede no ser "vulneración significativa" si los datos comprometidos no son sensibles. Y viceversa.

Próximos pasos prácticos según tu perfil

Si eres una pyme común

  • Hoy hasta diciembre 2026: régimen Ley 19.628 vigente. Acuerdos contractuales y manejo cuidadoso de datos como estándar mínimo.
  • Desde 1-DIC-2026: APDP fiscalizará. Política de Privacidad, RAT, procedimiento ARSOPB y plan de respuesta listos.
  • No te concierne ANCI salvo que prestes servicios críticos a un OIV designado.

Si eres un Operador de Importancia Vital designado

  • Vigente ya: cumplimiento Ley 21.663 con todas sus obligaciones. Plazos D.S. 295/2024 (3 horas / 72 horas / 15 días). Designación de Delegado de Ciberseguridad. Plan de continuidad operacional. Reportes al CSIRT Nacional.
  • Desde 1-DIC-2026: además, cumplimiento Ley 21.719 con plan integrado.
  • Coordinación: protocolo único que active dos flujos paralelos en cada incidente.

Si eres proveedor de un OIV (sin ser tú OIV)

  • Tus contratos con OIV probablemente te exijan estándares de seguridad equivalentes ("flow-down clauses").
  • Si sufres un incidente que afecta a tu cliente OIV, debes notificarles para que ellos cumplan sus plazos ANCI.
  • Para datos personales que tratas, sigue tu propio régimen Ley 21.719 desde diciembre 2026.

Para tener el panorama completo de las cinco normativas que afectan a una pyme chilena, ver la guía de normativas pyme 2026. Para la comparativa específica entre las dos leyes (no agencias), ver Ley 21.663 vs Ley 21.719.

Preguntas frecuentes

¿Cuál es la diferencia más importante entre ANCI y APDP?

ANCI protege servicios y APDP protege personas. ANCI fiscaliza solo a Servicios Esenciales y Operadores de Importancia Vital designados — un grupo selecto de empresas críticas para el país. APDP fiscaliza a toda persona natural o jurídica que trate datos personales — universal para pymes. ANCI exige plazos numéricos estrictos (3 horas alerta inicial al CSIRT Nacional). APDP usa la fórmula "sin dilaciones indebidas" sin plazo numérico fijo. Las multas máximas también difieren: ANCI llega a 40.000 UTM en gravísimas OIV; APDP llega a 20.000 UTM, ampliables al 2-4% de ingresos por reincidencia.

¿La APDP ya está fiscalizando?

No. La Ley 21.719 entra en vigencia plena el 1 de diciembre de 2026. La Ley 21.806 (publicada el 5 de febrero de 2026) adelantó la designación del Consejo Directivo a antes del 1 de junio de 2026, pero la asunción proyectada de los tres consejeros es octubre de 2026. Hasta el 30 de noviembre de 2026 sigue rigiendo el régimen de la Ley 19.628 original con tutela judicial directa ante juez de letras civil del domicilio del responsable. SERNAC mantiene competencia sobre datos personales en relación de consumo hasta esa misma fecha.

Si tengo un incidente de ciberseguridad con datos personales, ¿a cuál notifico primero?

Si eres OIV, primero a la ANCI porque su plazo es más estricto (3 horas alerta inicial al CSIRT Nacional). Después a la APDP "sin dilaciones indebidas" si la vulneración compromete datos personales y la APDP ya está operativa (desde diciembre 2026). Si eres una pyme común sin designación OIV, solo te corresponde notificar a la APDP. Y si la vulneración compromete datos sensibles, de niños/niñas menores de 14 años o económicos/financieros, también debes notificar a los titulares afectados según el Art. 14 sexies inc. 3°.

¿La ANCI puede multarme aunque sea solo una pyme normal?

No directamente. La Ley 21.663 limita el ámbito sancionatorio de la ANCI a Servicios Esenciales y Operadores de Importancia Vital designados por resolución exenta. Si tu pyme no figura en la nómina oficial de OIV (915 instituciones de la 1ª etapa publicadas el 17-DIC-2025; 372 preliminares de la 2ª etapa en consulta pública desde abril 2026), la ANCI no puede sancionarte por incumplimiento de la Ley 21.663. Sin perjuicio de eso, las recomendaciones técnicas e Instrucciones Generales 2/3/4 son referencia útil para cualquier organización.

¿Qué pasa con SERNAC y datos personales después del 1 de diciembre de 2026?

SERNAC pierde competencia exclusiva sobre datos personales en relación de consumo el 1 de diciembre de 2026. La Ley 21.719 deroga el Art. 15 bis de la Ley 19.496 que daba esa competencia, traspasándola a la APDP. Esto significa que los conflictos de datos en relación de consumo (que hoy se ventilan vía SERNAC con procedimientos voluntarios colectivos como el caso Banco Santander Chile) pasarán al ámbito administrativo de la APDP. SERNAC seguirá siendo competente en todo lo demás de la Ley 19.496 (cláusulas abusivas no relativas a datos, publicidad engañosa, etc.).

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en la Ley N° 21.719 y normativa chilena de ciberseguridad. La información sobre ANCI, OIV y reglamentos proviene de fuentes primarias (BCN, Diario Oficial, anci.gob.cl, Decretos Supremos publicados). Esta guía no constituye asesoría legal. Para situaciones complejas (designación OIV en disputa, doble cumplimiento, contratos con OIV) recomendamos consultar con abogado especializado.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.

🔍Guía

Cómo Saber qué Empresas Tienen tus Datos Personales en Chile

Guía práctica para titulares chilenos que quieren ejercer su derecho de acceso. 15 categorías de empresas que típicamente tienen tus datos, qué información pueden entregarte, plazos de respuesta y modelo de carta. Régimen Ley 19.628 actual y Ley 21.719 desde diciembre 2026.