Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Tres leyes, un plazo: el gran momento de la IA en Chile llega en 2026

Tres leyes, un plazo: el gran momento de la IA en Chile llega en 2026

by Camilo Silva updated mayo 20, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 11 minutes

Conclusiones clave

  1. Plazos convergentes en 2026. Las leyes de ciberseguridad, privacidad e IA imponen obligaciones simultáneas a los operadores chilenos, sin ventanas de cumplimiento secuenciales.
  2. 732 OIV ya designados. ANCI ha nombrado operadores en electricidad, telecomunicaciones, salud y servicios digitales, quienes enfrentan multas directas de hasta CLP $2.600 millones.
  3. Reglas de privacidad tipo GDPR-Plus. La Ley 21.719 añade multas del 4% sobre ingresos globales y un derecho explícito a la explicación de decisiones automatizadas, superando los estándares del GDPR.
  4. Los tribunales ya aplican la IA. Fallos de la Corte Suprema sobre datos biométricos demuestran que las protecciones constitucionales aplican de inmediato, sin importar si la Ley de IA aún no se aprueba.

El 17 de diciembre de 2025, la Agencia Nacional de Ciberseguridad de Chile publicó en el Diario Oficial los nombres de 732 Operadores de Importancia Vital. La lista abarca electricidad (147 operadores), telecomunicaciones (29), servicios digitales (413), banca y pagos (34), salud (114), empresas estatales (20) y cerca de 175 organismos públicos. Si tu organización está en la lista, las obligaciones bajo la Ley 21.663 — el marco fundamental de ciberseguridad de Chile — ya no son aspiracionales.

El artículo 5 establece dos pruebas. La primera pregunta si el servicio depende de redes y sistemas de información para operar. La segunda mide el impacto significativo: número de usuarios afectados, proveedores alternativos, características de monopolio, efectos en cascada y rol estratégico en la economía. Si cumples ambas, eres un OIV. Una vez designado, el operador debe implementar un Sistema de Gestión de Seguridad de la Información, nombrar un CISO y reportar incidentes al CSIRT nacional de ANCI bajo plazos estrictos.

Las sanciones son administrativas — ANCI las impone directamente, sin intervención judicial. Las infracciones muy graves conllevan multas de hasta 40.000 UTM (aproximadamente CLP $2.600 millones). La segunda ronda de calificación, que cubre Isapres, transporte, agua, gas y sectores adyacentes, ya está en marcha. La lista crecerá antes de que llegue el plazo.

5 conclusiones clave

1. Diciembre de 2026 no es un plazo flexible.

Tres leyes — ciberseguridad, privacidad e IA — convergen sobre los mismos operadores chilenos en el mismo año. Las ventanas de cumplimiento cierran juntas, no de forma secuencial. La Ley 21.663 ya es exigible. Las obligaciones de privacidad tipo GDPR bajo la Ley 21.719 entran en vigor el 1 de diciembre de 2026. El Proyecto de Ley de IA fue aprobado por la Cámara en octubre de 2025 y espera la aprobación del Senado. Las organizaciones que construyan la gobernanza de forma lineal perderán las tres.

2. Ya hay 732 organizaciones nombradas.

La primera ronda de calificación de ANCI designó Operadores de Importancia Vital en siete verticales — electricidad, telecomunicaciones, servicios digitales, banca, salud, empresas estatales y gobierno. La segunda ronda, que cubre Isapres, transporte, agua y gas, ya está en marcha. Una vez designado, ANCI puede auditar con seis meses de aviso y aplicar multas de hasta 40.000 UTM — aproximadamente CLP $2.600 millones — impuestas directamente sin intervención judicial.

3. La ley de privacidad tiene fuerza tipo GDPR y una disposición que lo supera.

La Ley 21.719 contempla multas de hasta el 4% de los ingresos globales anuales, exige EIPD para flujos de trabajo de IA e introduce el Artículo 8 bis — un derecho explícito a la explicación de decisiones automatizadas que supera deliberadamente el Artículo 22 del GDPR. Este derecho requiere evidencia en tiempo real — registros auditables, logs de acceso, metadatos de clasificación — que la mayoría de las organizaciones aún no generan con calidad de evidencia.

4. El Proyecto de Ley de IA no espera al Senado — los tribunales ya lo están aplicando.

La Corte Suprema de Chile falló contra Worldcoin en enero de 2025, aplicando protección constitucional a los datos biométricos nueve meses antes de que la Ley de IA fuera aprobada por la Cámara. Los tribunales ordenaron la eliminación de todos los registros biométricos en 30 días y rechazaron la certificación de eliminación de la empresa por considerarla insuficiente. El margen de tiempo es más corto de lo que sugiere el calendario legislativo.

5. Lo que importa es la prueba de arquitectura.

La mayoría de las organizaciones no puede demostrar confidencialidad, integridad o disponibilidad de los datos que sus sistemas de IA procesan. El Pronóstico Kiteworks 2026 encontró que el 63% no puede aplicar limitaciones de propósito a los agentes de IA y el 61% tiene logs fragmentados que no son accionables. Esa única capacidad faltante — registros auditables con calidad de evidencia — incumple tres marcos a la vez.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

Por qué una ley de ciberseguridad ya es una ley de IA

El Proyecto de Ley de IA aún no ha sido aprobado por el Senado. Eso no ha impedido que la Ley 21.663 regule los sistemas de IA hoy. Cualquier sistema de IA integrado en un servicio crítico hereda las obligaciones de confidencialidad, integridad y disponibilidad del operador bajo el Artículo 5. No existe una excepción de IA en la ley porque no es necesaria.

Un hospital de alta complejidad que utiliza IA para diagnóstico por imágenes es un OIV. El modelo es parte del servicio. Si se degrada, es manipulado o filtra información de salud protegida mediante prompt injection, el hospital tiene un incidente reportable — sin importar cómo la Ley de IA defina finalmente «alto riesgo». Un banco que utiliza IA para scoring de fraude en su switch de pagos enfrenta la misma lógica. Y 413 de los 732 OIV son proveedores de servicios digitales — lo que significa que los proveedores de nube e IA que trabajan con esas organizaciones han sido incorporados al perímetro de ciberseguridad a través de sus clientes.

Chile ocupa el cuarto lugar en América Latina en exposición a ransomware. La encuesta Sophos State of Ransomware in Chile 2025 encontró que el 52% de las organizaciones sufrió cifrado de datos, el pago medio de rescate fue de $675.000 dólares y el costo promedio de recuperación alcanzó $1,2 millones. El Informe Global de Amenazas CrowdStrike 2026 documenta un aumento del 89% en ataques de adversarios habilitados por IA año tras año. Los operadores chilenos están alcanzando el riesgo, no regulando por delante de él.

Ley 21.719: Privacidad con fuerza tipo GDPR y un artículo que supera el GDPR

La Ley 21.719, promulgada en diciembre de 2024 y exigible desde el 1 de diciembre de 2026, reemplaza el marco de privacidad chileno de 1999 por un régimen modelado en el GDPR. Crea la Agencia de Protección de Datos Personales — la primera DPA dedicada de Chile — e introduce bases legales para el tratamiento, EIPD obligatorias para tratamientos de alto riesgo, requisitos de notificación de brechas y reglas para transferencias transfronterizas.

Dos disposiciones son clave para los operadores de IA. El Artículo 8 bis establece un derecho explícito a la explicación de decisiones automatizadas — superando deliberadamente el derecho implícito del Artículo 22 del GDPR. Para una decisión de crédito o empleo basada en IA, esto implica entregar los datos de entrada, factores del modelo, clasificación y reglas de política en un formato comprensible para el titular. Los registros auditables por operación son la única base práctica. La segunda disposición es el derecho a oponerse a decisiones basadas exclusivamente en procesamiento automatizado cuando produzcan efectos legales o significativos — abarcando perfilamiento, scoring crediticio, algoritmos de contratación, asignación de beneficios y suscripción de seguros.

Las sanciones reflejan la gravedad: infracciones graves reiteradas por empresas no pequeñas pueden activar multas del 2% o 4% de los ingresos globales anuales. Un Registro Nacional de Sanciones y Cumplimiento publicará a los infractores durante cinco años. Un informe de la Comisión Asesora Ministerial de julio de 2025 advirtió que la APDP está subfinanciada y atrasada, recomendando que esté operativa en junio de 2026 — lo que significa que la ventana de cumplimiento es más estrecha de lo que sugiere la fecha de diciembre de 2026.

El Proyecto de Ley de IA — y la Corte Suprema que se adelantó

El Proyecto de Ley N° 16821-19 importa explícitamente la arquitectura basada en riesgos de la Ley de IA de la UE en cuatro niveles. Riesgo inaceptable — scoring social, manipulación subliminal, identificación biométrica no consentida en espacios públicos — está prohibido totalmente. Los sistemas de Alto Riesgo enfrentan obligaciones estrictas de documentación, gobernanza, transparencia, supervisión humana y autorización previa. Riesgo Limitado exige divulgación de interacción con IA y etiquetado de contenido sintético. Sin Riesgo Evidente queda sin regulación.

El proyecto contiene disposiciones poco comunes en la legislación latinoamericana sobre IA. El Artículo 12 exige consentimiento expreso para deepfakes con personas reales. El Artículo 15 prohíbe deepfakes que amenacen la dignidad individual, la integridad democrática o la seguridad pública. El Artículo 18 impone una ventana de 24 horas para que las plataformas eliminen deepfakes dañinos reportados. El proyecto tiene alcance extraterritorial — los proveedores extranjeros cuyos resultados de IA se usen en Chile quedan dentro del ámbito. Las multas máximas alcanzan 20.000 UTM (aproximadamente USD $1,5 millones).

Los tribunales chilenos ya han comenzado a aplicar estos principios sin esperar la aprobación del Senado. En enero de 2025, la Corte Suprema de Chile falló contra la recolección de datos biométricos de un menor de 17 años por parte de Worldcoin, ordenando la eliminación de todos los registros biométricos en 30 días y rechazando la certificación de eliminación de la empresa por insuficiente, salvo que se verifique contra un estándar formal como ISO 27001. Fue la primera Corte Suprema del mundo en fallar contra una plataforma biométrica de IA tipo Worldcoin. Los tribunales están listos para aplicar protecciones constitucionales a sistemas de IA usando instrumentos existentes, hoy.

La brecha de gobernanza que conecta las tres leyes

Chile lidera el Índice Latinoamericano de IA con 73,07 puntos — por delante de Brasil y Uruguay. Las agencias públicas ya operan IA en producción: SUSESO utiliza modelos de gradient boosting para evaluación de licencias médicas y árboles de decisión para auditorías de salud mental laboral. Stanford y CENIA estiman que aproximadamente 4,7 millones de trabajadores chilenos podrían acelerar más del 30% de sus tareas usando IA generativa.

La implementación va por delante de la gobernanza de IA. El Informe de Pronóstico Kiteworks 2026 cuantifica la brecha con precisión: el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA, el 60% no puede terminar un agente que se comporta mal, el 57% carece de una puerta de enlace de datos IA centralizada y el 7% no tiene controles dedicados de IA.

Estas son deficiencias en el plano de control, no fallas de política. Puede existir la política de uso aceptable de IA por escrito. La aplicación en tiempo real no. Esa distinción es exactamente lo que auditores e inspectores de ANCI examinarán cuando revisen la tercera línea de defensa de un OIV.

Los registros auditables son la capacidad clave. El 61% de las organizaciones tiene logs fragmentados que no son accionables. Sin registros auditables con calidad de evidencia, un operador chileno no puede demostrar cumplimiento del Artículo 5 bajo la Ley 21.663, satisfacer los requisitos de evidencia de la EIPD bajo la Ley 21.719 ni cumplir las obligaciones de documentación que impondrá la Ley de IA sobre sistemas de Alto Riesgo. Una sola capacidad faltante incumple tres marcos a la vez.

Cómo se ve lo defendible en Chile

El camino a través de las tres leyes pasa por cinco capacidades arquitectónicas, todas construibles hoy.

Descubrir y clasificar. Mapea todos los lugares donde vive información sensible y cada punto donde la IA la toca. Esto satisface la prueba de dependencia del Artículo 5(1), el mapeo de bases legales bajo la Ley 21.719 y la obligación de documentación que enfrentarán los sistemas de Alto Riesgo bajo la Ley de IA. El informe Thales 2026 encontró que solo el 33% de las organizaciones sabe exactamente dónde se almacena su información — haciendo de la clasificación de datos el requisito previo para cualquier otro control.

Autenticar cada solicitud. Acceso vinculado a identidad para agentes de IA, no claves API compartidas. Seis vulnerabilidades comerciales de IA en 18 meses colapsaron porque la IA se autenticó una vez y heredó acceso amplio. Los controles de acceso atados a la identidad autenticada — no al contexto de sesión heredado — son la solución estructural.

Aplicar política por operación. Control de acceso basado en atributos evaluado en tiempo real, por solicitud, según clasificación de datos y contexto — independiente del modelo. Esto hace viable el Artículo 8 bis: si no puedes decirle al regulador qué datos y decisiones de política produjeron un resultado automatizado, no puedes entregar una explicación significativa.

Cifrado FIPS 140-3 y custodia de claves. Cifrado validado FIPS 140-3 en reposo y en tránsito, con custodia de claves en jurisdicción para cumplir requisitos de soberanía bajo las tres leyes. El fallo de Worldcoin subrayó que los tribunales chilenos exigirán estándares de eliminación certificados ISO — no simples afirmaciones.

Registro auditable a prueba de manipulaciones. Cada acceso, cada acción, atribución completa, transmitido a un SIEM. El Pronóstico Kiteworks 2026 encontró que la calidad del registro auditable predice todos los demás indicadores de gobernanza de IA, con ventajas de 20 a 32 puntos en todas las dimensiones de control.

El enfoque Kiteworks: un solo plano de control para tres leyes

La fragmentación que derrota la mayoría de los programas de cumplimiento es arquitectónica. Correo electrónico, uso compartido de archivos, SFTP, MFT, APIs REST, formularios web e integraciones de IA tienen cada uno sus propios controles de acceso, registros de auditoría y motores de políticas. Un OIV típico utiliza de cinco a diez herramientas de intercambio. Cada una genera su propia evidencia. Ninguna habla un lenguaje de políticas común. A ANCI no le importa la fragmentación — le importa si puedes demostrar confidencialidad, integridad y disponibilidad en todos los canales por donde circula información sensible.

La Red de Datos Privados de Kiteworks proporciona un solo motor de políticas, un solo registro de auditoría y una arquitectura de seguridad unificada para correo electrónico seguro, uso compartido de archivos, SFTP, MFT, APIs REST, formularios web e integraciones de IA mediante el Secure MCP Server y la puerta de enlace de datos IA. Dispositivo virtual reforzado. Nube privada de tenencia única. Módulos criptográficos FIPS 140-3. Autorizado FedRAMP de impacto moderado.

Cuando el Artículo 8 bis exige una explicación, el registro auditable la produce. Cuando ANCI inspecciona una dependencia del Artículo 5, los logs de acceso la prueban. Cuando la Ley de IA impone preautorización a un sistema de Alto Riesgo, la evidencia ya está recolectada. Una sola arquitectura, tres marcos, sin fragmentación.

Qué deben hacer los operadores chilenos antes de diciembre de 2026

Primero, inventaría tu superficie de datos IA. Mapea cada sistema, repositorio y SaaS donde vive información regulada, y cada agente de IA que la toca. El 57% de las organizaciones carece de una puerta de enlace de datos IA centralizada según el Pronóstico Kiteworks 2026. Los operadores no pueden demostrar confidencialidad, integridad ni disponibilidad de información que no han identificado.

Segundo, reemplaza claves API compartidas por acceso autenticado, gobernado por ABAC y registrado de forma inalterable. La aplicación por operación, independiente del modelo y del prompt, es la única respuesta sostenible. El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA.

Tercero, construye registros auditables con calidad de evidencia antes de que lo pida el regulador. Prepara dashboards de cumplimiento para obligaciones de la Ley 21.663, derechos de titulares bajo la Ley 21.719 y clasificación de riesgos de la Ley de IA. La ventana de auditoría de ANCI de seis meses no es suficiente para construir el registro retroactivamente.

Cuarto, clasifica tu portafolio de IA según los niveles de riesgo de la Ley de IA ahora. Los tribunales chilenos ya han demostrado disposición a aplicar protecciones constitucionales a sistemas de IA hoy. Identifica qué sistemas probablemente sean Inaceptables, de Alto Riesgo, Limitados o Sin Riesgo Evidente — y preautoriza los de Alto Riesgo con documentación que resista revisión externa.

Quinto, trata a la APDP y ANCI como reguladores paralelos, no secuenciales. Los reguladores de privacidad y ciberseguridad compartirán información. Una brecha que involucre datos personales de un sistema de IA activa obligaciones ante ambos. Los registros auditables de fuente única son la única respuesta práctica; mantener dos flujos de evidencia fallará en el primer incidente real.

Las organizaciones que esperen a que se apruebe la Ley de IA para construir gobernanza estarán varios trimestres detrás de las que la construyeron desde la Ley 21.663. Las ventanas de cumplimiento no se están abriendo de forma secuencial. Se están cerrando juntas.

Para saber más sobre gobernanza de datos IA, agenda una demo personalizada hoy.

Preguntas frecuentes

Sí. Si ofreces hosting, SOC, MSP, SaaS, PaaS, IaaS o servicios de ciberseguridad a un OIV chileno, tus obligaciones se transmiten a través de tus clientes. ANCI designó 413 proveedores de servicios digitales como OIV en la primera ronda de calificación. Los proveedores con sede en el extranjero enfrentan los mismos requisitos arquitectónicos que los nacionales — incluyendo implementación de SGSI, nombramiento de CISO y reporte de incidentes al CSIRT de ANCI. Las obligaciones de cumplimiento normativo no se detienen en las fronteras de Chile para quienes tocan infraestructura crítica chilena.

El Artículo 8 bis exige la divulgación de la lógica, datos de entrada y factores de decisión detrás de cualquier decisión automatizada con efectos legales o significativos — superando deliberadamente el Artículo 22 del GDPR. Para decisiones crediticias, esto implica entregar los datos de entrada, factores del modelo y reglas de política en un formato comprensible para el cliente. Los registros auditables por operación son la única base práctica — una política escrita no satisface esta obligación en tiempo real.

No. El fallo Worldcoin de la Corte Suprema de enero de 2025 demuestra que los tribunales aplicarán protecciones constitucionales a sistemas de IA usando instrumentos existentes — hoy, sin legislación específica de IA. La Ley 21.663 ya abarca la IA integrada en servicios esenciales. El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA. Cerrar esa brecha antes de la aprobación en el Senado es la única postura defendible. La gobernanza de datos IA construida ahora cumple los tres marcos a medida que entran en vigor.

El soporte clínico es una dependencia del Artículo 5(1) bajo la Ley 21.663 y una decisión automatizada bajo la Ley 21.719. La pérdida de integridad del modelo puede afectar directamente la seguridad del paciente, activando el reporte de incidentes OIV. El mismo sistema procesa información de salud protegida sujeta a EIPD, base legal y requisitos de notificación de brechas. Una capa de gobernanza unificada satisface ambos regímenes a la vez — la gobernanza fragmentada falla en ambos. La puerta de enlace de datos IA de Kiteworks y el Secure MCP Server proporcionan el plano de control unificado que esto requiere.

Sí. El Proyecto de Ley de IA 16821-19 se aplica explícitamente a proveedores extranjeros cuyos resultados de IA se usen en Chile, incluyendo etiquetado de contenido sintético, disposiciones sobre deepfakes y clasificación de riesgos para sistemas de Alto Riesgo. Solo el 36% de las organizaciones tiene visibilidad sobre dónde se procesan, entrenan o infieren los datos según el Pronóstico Kiteworks 2026 — la brecha fundamental que impide el cumplimiento de soberanía de datos bajo las tres leyes chilenas. Construye visibilidad de residencia de datos antes de que la ley entre en vigor.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos IA
  • eBook
    Brecha de gobernanza IA: Por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Preguntas frecuentes

Diciembre de 2026 marca la convergencia de tres leyes — ciberseguridad bajo la Ley 21.663, privacidad bajo la Ley 21.719 y el Proyecto de Ley de IA — creando plazos de cumplimiento simultáneos en lugar de secuenciales. La Ley 21.663 ya es exigible, mientras que la Ley 21.719 entra en vigor el 1 de diciembre de 2026, exigiendo a las organizaciones construir gobernanza integrada para no perder los tres marcos.

ANCI designó 732 OIV en sectores como electricidad, telecomunicaciones, servicios digitales, banca, salud, empresas estatales y organismos públicos. Los operadores designados deben implementar un Sistema de Gestión de Seguridad de la Información, nombrar un CISO y reportar incidentes al CSIRT nacional de ANCI bajo plazos estrictos, con multas de hasta 40.000 UTM para infracciones muy graves.

El Artículo 8 bis establece un derecho explícito a la explicación de decisiones automatizadas que supera el Artículo 22 del GDPR, exigiendo la divulgación de datos de entrada, factores del modelo, clasificación y reglas de política en un formato comprensible. Esto requiere registros auditables con calidad de evidencia, ya que la mayoría de las organizaciones actualmente carece de la evidencia en tiempo real necesaria para cumplir.

La Corte Suprema de Chile falló contra Worldcoin en enero de 2025, aplicando protecciones constitucionales a los datos biométricos al ordenar la eliminación de todos los registros en 30 días y rechazar certificaciones de eliminación insuficientes. Esto demuestra que los tribunales están aplicando principios de gobernanza de IA usando instrumentos existentes hoy, acortando el plazo efectivo para el cumplimiento.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks