Saltar al contenido principal
PrivacidadWeb
Legal11 min de lectura·

Ley 21.663 vs Ley 21.719: ¿Cuál Aplica a tu Empresa?

Dos leyes nuevas, dos autoridades, dos regímenes que se confunden permanentemente. Esta guía compara la Ley 21.663 (Marco de Ciberseguridad, ANCI) con la Ley 21.719 (Protección de Datos Personales, APDP), explica cuándo aplica cada una, cuándo aplican ambas y qué tiene que hacer tu empresa según su perfil.

P

PrivacidadWeb

PrivacidadWeb.cl

Chile estrenó dos leyes nuevas en 12 meses. La Ley 21.663 (Marco de Ciberseguridad) entró en vigencia el 1 de enero de 2025. La Ley 21.719 (Protección de Datos Personales) entrará en vigencia plena el 1 de diciembre de 2026. Ambas son comúnmente confundidas en blogs, webinars y conversaciones de directorio: "el cumplimiento de la ley nueva", como si fueran lo mismo. No lo son.

Cubren dominios distintos, aplican a sujetos distintos, las administran agencias distintas, y la sanción por confundirlas es real. Esta guía es el mapa: qué hace cada una, cuándo aplica solo una, cuándo aplican las dos, y qué tiene que hacer tu empresa según su perfil real.

Si tienes 60 segundos: la Ley 21.663 aplica solo a Servicios Esenciales y Operadores de Importancia Vital designados por la ANCI (servicios críticos: eléctrico, telecom, banca, salud, transporte, gobierno). La Ley 21.719 aplica a toda persona natural o jurídica que trate datos personales — es decir, prácticamente toda pyme. Si tu empresa no presta un servicio esencial ni fue designada OIV, la Ley 21.663 no te obliga. La Ley 21.719 .

Las dos leyes en una tabla

| Aspecto | Ley 21.663 (Ciberseguridad) | Ley 21.719 (Datos Personales) | |---|---|---| | Materia | Seguridad de servicios e infraestructura crítica | Protección de datos personales | | Publicación D.O. | 8 de abril de 2024 | 13 de diciembre de 2024 | | Vigencia | 1 de enero de 2025 (general); 1 de marzo de 2025 (régimen sancionatorio) | 1 de diciembre de 2026 (vigencia plena) | | Autoridad | ANCI (Agencia Nacional de Ciberseguridad) | APDP (Agencia de Protección de Datos Personales) | | ¿A quién aplica? | Servicios Esenciales (SE) y Operadores de Importancia Vital (OIV) designados | Toda persona natural o jurídica que trate datos personales | | Multa máxima | 20.000 UTM (SE gravísima) / 40.000 UTM (OIV gravísima) | Hasta 20.000 UTM general; 2%-4% ingresos en reincidencia no-Pyme | | Plazo notificación incidentes | 3 horas alerta inicial; 72 h reporte intermedio (24 h OIV con SE); 15 días informe final | "Sin dilaciones indebidas" (no plazo numérico fijo) | | ¿Aplica a tu pyme común? | NO — solo si fuiste designado SE/OIV | SÍ — universal desde 1-DIC-2026 |

Ley 21.663 — Marco de Ciberseguridad e Infraestructura Crítica

Qué regula

La Ley 21.663 protege la continuidad de servicios cuya interrupción pondría en riesgo el orden público, la seguridad nacional o el bienestar colectivo. No protege "los datos" sino "los servicios": que el suministro eléctrico funcione, que la red bancaria opere, que los hospitales tengan sistemas operativos durante un ciberataque.

Su Título II (Obligaciones de Ciberseguridad) impone a los sujetos obligados: implementar planes de continuidad operacional, tener un Delegado de Ciberseguridad, reportar incidentes al CSIRT Nacional dentro de plazos estrictos, contar con planes formales de respuesta a incidentes y políticas de gestión de riesgos. El Título VII establece el régimen sancionatorio.

A quiénes aplica realmente

Esta es la diferencia crítica. La Ley 21.663 NO aplica a toda empresa chilena. Solo aplica a dos tipos de sujetos:

  • Servicios Esenciales (SE). Definidos en el Art. 4° de la ley. Son los sectores estructurales: generación/transmisión/distribución eléctrica, combustibles, agua potable, telecomunicaciones, infraestructura digital, financiero, salud, transporte, y otros listados.
  • Operadores de Importancia Vital (OIV). Subconjunto crítico designado por la ANCI mediante resolución exenta. Las multas para OIV duplican las de SE.

La primera nómina oficial de OIV se publicó en el Diario Oficial el 17 de diciembre de 2025 (Resolución Exenta N° 87 ANCI) e incluye 915 instituciones:

  • 147 empresas eléctricas (17% del total).
  • 413 empresas de servicios digitales/TI (el sector con mayor representación).
  • 158 organismos de la Administración del Estado.
  • 114 instituciones prestadoras de salud.
  • 34 instituciones del sector bancario, financiero y medios de pago.
  • 29 empresas de telecomunicaciones.
  • 20 empresas públicas.

Una segunda nómina preliminar de 372 instituciones está en consulta pública desde el 24 de abril de 2026 y cubre combustibles, suministro de agua, transporte (terrestre, aéreo, marítimo, ferroviario), seguridad social, servicios postales y farmacéutico. La nómina final de la 2ª etapa aún no se publica.

Cómo saber si tu empresa fue designada OIV: consulta el sitio oficial de la ANCI (anci.gob.cl) y la Resolución Exenta N° 87 publicada en el Diario Oficial del 17-DIC-2025. Si tu empresa no figura ahí ni en la nómina preliminar de la 2ª etapa, la Ley 21.663 no te obliga directamente. Si tienes dudas porque tu empresa presta un servicio que podría ser esencial (TI a sectores críticos, energía, salud), revisa el Art. 4° o consulta vía oficinadepartes@anci.gob.cl.

Plazos de notificación de incidentes (D.S. 295/2024)

El Reglamento de Reporte de Incidentes, publicado en el Diario Oficial el 1 de marzo de 2025, establece tres plazos distintos:

  • Alerta inicial al CSIRT Nacional: máximo 3 horas desde la detección del incidente. Es el plazo más corto del ordenamiento jurídico chileno para notificación regulatoria.
  • Reporte intermedio: 72 horas en la mayoría de los casos. Se acorta a 24 horas cuando un OIV tiene afectado un servicio esencial.
  • Informe final: 15 días corridos desde la alerta inicial.

Régimen sancionatorio (Título VII)

Multas máximas en UTM, expresadas distinto para SE y OIV:

| Categoría | Servicio Esencial (SE) | Operador de Importancia Vital (OIV) | |---|---|---| | Leve | hasta 5.000 UTM | hasta 10.000 UTM | | Grave | hasta 10.000 UTM | hasta 20.000 UTM | | Gravísima | hasta 20.000 UTM | hasta 40.000 UTM |

A valor UTM mayo 2026 (~$70.588 CLP), una multa gravísima a un OIV puede llegar a ~$2.823 millones de pesos. Hay descuento del 25% si la multa se paga en Tesorería General dentro de los 5 días siguientes a su notificación.

Ley 21.719 — Protección de Datos Personales

Qué regula

La Ley 21.719 protege a las personas naturales en el tratamiento de sus datos personales: identidad, contacto, biometría, salud, finanzas, ubicación, comportamiento. Modifica la Ley 19.628 que rige desde 1999 y establece un sistema sancionatorio nuevo, con multas comparables a las de Europa y una autoridad administrativa con facultades de fiscalización: la Agencia de Protección de Datos Personales (APDP).

A quiénes aplica

La diferencia con la Ley 21.663 es simple y radical: aplica a toda persona natural o jurídica que trate datos personales. No hay umbral de tamaño, no hay sectorización, no hay designación. Si tu pyme tiene una base de clientes, una nómina de empleados o un formulario de contacto en su sitio web, está dentro del ámbito de la ley.

Las obligaciones esenciales para tu empresa cuando entre en vigencia el 1 de diciembre de 2026:

  • Política de Privacidad publicada y completa (Art. 14 ter).
  • Registro de Actividades de Tratamiento (RAT) documentado (Art. 14 quinquies).
  • Procedimiento ARSOPB (los seis derechos del titular: Acceso, Rectificación, Supresión, Oposición, Portabilidad, Bloqueo) — responder en 30 días corridos (Art. 11).
  • Medidas de seguridad proporcionales al riesgo (Art. 14 quinquies).
  • Procedimiento de notificación de vulneraciones sin dilaciones indebidas (Art. 14 sexies).

Plazo de notificación de vulneraciones

A diferencia de la Ley 21.663 (que sí fija plazo numérico), la Ley 21.719 usa la fórmula "por los medios más expeditos posibles y sin dilaciones indebidas" (Art. 14 sexies). El plazo de "72 horas" que circula en blogs comparativos es del Art. 33 del RGPD europeo y no aplica en Chile. Lo razonable es notificar tan pronto se confirme una vulneración significativa, una vez evaluado el alcance básico.

Régimen sancionatorio

| Categoría | Multa máxima | |---|---| | Leve | hasta 5.000 UTM | | Grave | hasta 10.000 UTM | | Gravísima | hasta 20.000 UTM | | Reincidencia (general) | hasta 3 veces el monto base | | Reincidencia + no-Pyme + grave/gravísima | 2% (graves) o 4% (gravísimas) de los ingresos anuales por ventas y servicios |

Existe un régimen Pyme transitorio durante los primeros 12 meses (1-DIC-2026 a 1-DIC-2027): la APDP podrá aplicar amonestación escrita en lugar de multa para empresas calificadas como "de menor tamaño" según la Ley 20.416 (microempresa, pequeña y mediana hasta 100.000 UF en ventas anuales).

Si quieres una estimación cuantitativa de tu exposición regulatoria bajo Ley 21.719, prueba la calculadora de multas. Configura tamaño, datos comprometidos y conducta posterior; entrega rango UTM y CLP estimado.

¿Cuándo aplica solo una?

Solo Ley 21.663 (sin Ley 21.719)

En la práctica, casi nunca. Casi todo Servicio Esencial trata datos personales: clínicas tienen fichas clínicas, telcos tienen datos de abonados, bancos tienen RUT y cuentas, AFP tienen datos previsionales. La única hipótesis razonable es un proveedor de infraestructura puramente B2B sin relación directa con personas naturales (ej. una empresa de generación eléctrica que vende exclusivamente al Coordinador Eléctrico Nacional sin tratamiento de datos de personas físicas), pero incluso ahí maneja datos de empleados.

Solo Ley 21.719 (sin Ley 21.663)

Es el caso de la inmensa mayoría de las pymes chilenas. Cualquier empresa que:

  • Tiene una base de clientes (e-commerce, retail, servicios profesionales).
  • Tiene empleados (cumple Código del Trabajo y previsional).
  • Tiene formulario de contacto en su web (recolecta email, nombre).
  • Hace marketing por email.

...está bajo Ley 21.719 desde el 1 de diciembre de 2026. Si tu empresa no presta un servicio esencial sectorial ni fue designada OIV, la Ley 21.663 no te obliga directamente y solo necesitas preocuparte por la Ley 21.719.

Aplican ambas

Si tu empresa está designada SE u OIV y trata datos personales (que es prácticamente siempre el caso), aplican las dos leyes simultáneamente. Esto típicamente ocurre en:

  • Bancos, financieras, medios de pago, AFP, isapres. Doble fiscalización: ANCI por seguridad operacional + APDP por datos personales. Además mantienen la regulación sectorial (CMF, SP).
  • Telcos. ANCI + APDP + SUBTEL.
  • Clínicas y prestadores de salud. ANCI + APDP + Servicios de Salud.
  • Empresas eléctricas y de combustibles. ANCI + APDP + SEC.
  • Empresas de servicios digitales/TI (las 413 designadas OIV en la 1ª etapa).
  • Organismos del Estado (los 158 designados OIV).

Ejemplos prácticos por industria

Restaurante con sistema de reservas digital

  • Ley 21.663: NO aplica (no es SE ni OIV).
  • Ley 21.719: SÍ aplica. Necesita Política de Privacidad, RAT, procedimiento ARSOPB.
  • Foco: consentimiento de marketing, plazos de conservación de datos de reservas, notificación de brecha si pierde la base de datos.

Ferretería con e-commerce de 2.000 clientes registrados

  • Ley 21.663: NO aplica.
  • Ley 21.719: SÍ aplica plenamente.
  • Foco: Política de Privacidad detallada, banner de cookies, procedimiento de supresión para clientes que se borran.

Consultorio dental privado pequeño

  • Ley 21.663: Tradicionalmente NO. La salud está listada como sector esencial pero los OIV designados en la 1ª etapa son las 114 prestadoras grandes; un consultorio dental con 1-3 dentistas no fue designado. Verificar la 2ª etapa cuando se publique.
  • Ley 21.719: SÍ aplica con régimen reforzado por tratar datos sensibles (salud, Art. 16). Conservación obligatoria de fichas según DS 41 MINSAL (mínimo 15 años).
  • Foco: consentimiento explícito para tratamiento de datos de salud, contratos con software clínico (encargado de tratamiento), protocolo de respuesta ante brechas.

Empresa de servicios TI con cliente bancario

  • Ley 21.663: Probablemente SÍ — los servicios digitales/TI representan 413 OIV en la 1ª etapa. Si tu empresa presta servicios críticos a bancos, AFP o seguros, es candidata a designación OIV.
  • Ley 21.719: SÍ aplica.
  • Foco: doble cumplimiento. Plazos de notificación distintos (3 horas a CSIRT Nacional + sin dilaciones indebidas a APDP si hay datos personales). Delegado de Ciberseguridad obligatorio (ANCI).

Banco mediano

  • Ley 21.663: SÍ — designado SE/OIV automáticamente.
  • Ley 21.719: SÍ aplica.
  • Adicional: regulación CMF (Comisión para el Mercado Financiero), Ley General de Bancos. Cuádruple cumplimiento.
  • Foco: integración de protocolos de respuesta para cumplir simultáneamente plazos ANCI (3 h) y exigencias APDP, manteniendo además los reportes a CMF.

Colegio privado con sistema de gestión de alumnos

  • Ley 21.663: NO aplica (no es SE ni OIV).
  • Ley 21.719: SÍ aplica con régimen reforzado por tratar datos de niños y niñas (Art. 16).
  • Foco: consentimiento de apoderados, plazos de conservación, accesos del personal al sistema, contrato con el proveedor del software escolar.

Startup que vende SaaS a gobierno

  • Ley 21.663: Probablemente SÍ si presta servicios críticos. Si tu cliente es un organismo del Estado de los 158 designados OIV en la 1ª etapa y tu SaaS forma parte de su operación crítica, eres "tercero relevante" para el OIV y heredas obligaciones.
  • Ley 21.719: SÍ aplica.
  • Foco: acuerdos de nivel de servicio que reflejen plazos ANCI, contratos de encargado de tratamiento, notificaciones simultáneas.

Plan de cumplimiento dual

Si después de leer lo anterior queda claro que aplican las dos leyes a tu empresa, el plan de cumplimiento NO debe armarse en silos. Idealmente:

  1. Inventario único de activos críticos. Una sola lista que documente sistemas, datos personales tratados, terceros (proveedores que tratan tus datos), y servicios que prestas a otros.
  2. Plan de respuesta a incidentes integrado. Un solo protocolo que cubra ambos flujos de notificación: a CSIRT Nacional dentro de 3 horas (Ley 21.663) y a APDP "sin dilaciones indebidas" cuando hay datos personales comprometidos (Ley 21.719).
  3. Política de seguridad transversal. Las medidas técnicas que exige el Art. 14 quinquies de la Ley 21.719 (medidas de seguridad proporcionales al riesgo) son en gran medida las mismas que pide la Ley 21.663.
  4. Capacitación cruzada del equipo. El operador que detecta el incidente debe saber que tiene que activar dos flujos paralelos. Un solo entrenamiento puede cubrir ambos.
  5. Registro centralizado de evidencia. La misma documentación sirve para fiscalización ANCI o fiscalización APDP. Tener bitácoras únicas reduce la carga administrativa.

Cuándo NO aplican ambas: la mayoría de las pymes. Para una pyme normal sin clasificación SE/OIV, el plan de cumplimiento se enfoca solo en Ley 21.719. La herramienta de Diagnóstico gratuita evalúa el estado de tu empresa en 5 minutos y entrega un plan de acción priorizado para los componentes que te aplican.

Preguntas frecuentes

¿Cómo sé si mi empresa fue designada Operador de Importancia Vital (OIV)?

Consulta dos fuentes oficiales: (1) la Resolución Exenta N° 87 ANCI publicada en el Diario Oficial el 17 de diciembre de 2025, que contiene la nómina final de la 1ª etapa con 915 instituciones; (2) la nómina preliminar de la 2ª etapa publicada en abril de 2026 con 372 instituciones adicionales (combustibles, agua, transporte, postales, farmacéutico, seguridad social), aún en consulta pública. Ambas listas están en el sitio oficial anci.gob.cl. Si tu empresa no aparece en ninguna, la Ley 21.663 no te obliga directamente. Si tienes duda razonable porque prestas servicios críticos a un OIV, contacta oficinadepartes@anci.gob.cl.

¿Mi empresa tiene que cumplir con los 3 plazos del D.S. 295/2024 sobre notificación de incidentes?

Solo si tu empresa es Servicio Esencial u Operador de Importancia Vital designado por la ANCI. Los plazos son: alerta inicial al CSIRT Nacional dentro de 3 horas desde detección, reporte intermedio en 72 horas (24 horas si OIV tiene servicio esencial afectado), e informe final dentro de 15 días corridos desde la alerta inicial. Si tu empresa no es SE/OIV pero sufre una vulneración con datos personales, tu obligación es notificar a la APDP "sin dilaciones indebidas" según el Art. 14 sexies de la Ley 21.719 — distinto régimen, sin plazos numéricos fijos.

¿Es cierto que la APDP comenzará a operar antes del 1 de diciembre de 2026?

La Ley 21.806 publicada en el Diario Oficial el 5 de febrero de 2026 adelantó la designación del Consejo Directivo de la APDP a antes del 1 de junio de 2026. Sin embargo, la vigencia plena de la Ley 21.719 sigue siendo el 1 de diciembre de 2026 y la asunción formal de los consejeros se proyecta para octubre de 2026. La APDP no está operativa fiscalizando ni recibiendo reclamos a la fecha (mayo 2026). Hasta el 30 de noviembre de 2026 sigue aplicándose el régimen de la Ley 19.628 original (vía judicial directa ante juez de letras civil para tutela de derechos del titular).

¿Qué pasa si mi empresa cumple con la Ley 21.663 pero no con la Ley 21.719 (o viceversa)?

Cada ley tiene su régimen sancionatorio independiente. Una empresa que cumple solo una de las dos puede ser sancionada por la otra. Por ejemplo: un banco que cumple impecablemente con los reportes ANCI pero no tiene Política de Privacidad en su web puede recibir multa de la APDP por infracción al Art. 14 ter Ley 21.719. Y una empresa que cuida la protección de datos personales pero falla en notificar un incidente de ciberseguridad al CSIRT Nacional dentro de 3 horas puede recibir multa de la ANCI. Por eso el plan de cumplimiento dual es la única estrategia razonable para empresas a las que aplican ambas.

¿Hay algún punto donde las dos leyes se contradigan?

No directamente, pero hay tensiones operativas que tu equipo legal debe gestionar. La principal es el plazo de notificación: la Ley 21.663 exige alerta inicial en 3 horas al CSIRT Nacional, mientras la Ley 21.719 dice "sin dilaciones indebidas". Si una empresa OIV sufre una vulneración con datos personales, debe notificar a las dos autoridades pero con criterios distintos: a CSIRT Nacional con muy poca información (porque el plazo de 3 horas es estricto) y a APDP con información ya consolidada (porque el plazo es razonable). El protocolo interno debe contemplar ambos flujos. La comparativa entre la Ley 19.628 y la Ley 21.719 cubre el otro lado de la transición regulatoria, útil si quieres entender cómo cambia específicamente el régimen de datos personales.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en la Ley N° 21.719 y normativa chilena de ciberseguridad. La información sobre OIV designados proviene de fuentes primarias: Diario Oficial 17-DIC-2025 (Res. Ex. N° 87 ANCI) y comunicaciones oficiales del sitio anci.gob.cl. Esta guía no constituye asesoría legal. Para situaciones complejas (designación OIV en disputa, doble cumplimiento, contratos con OIV) recomendamos consultar con abogado especializado.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.