2026 marca un punto de quiebre en el cumplimiento regulatorio en Chile. Durante mucho tiempo, decir que se cumplía bastaba con tener un PDF con políticas genéricas, un responsable y la esperanza de que nada grave ocurriera. Pero eso ya no alcanza.
Con la entrada en vigor de leyes como la Ley Marco de Ciberseguridad (21.663) y la Ley de Protección de Datos (21.719), el mensaje es brutalmente claro: ya no basta con decir que cumples, tienes que demostrarlo. Y demostrarlo no en una auditoría teórica, sino cuando algo falla. Porque va a fallar.
2026 trae más fiscalización, más presión operativa y una expectativa que muchas organizaciones todavía no quieren aceptar: cuando ocurra un incidente, TI no puede improvisar. Tiene que responder. Rápido. Con evidencia. Con acciones trazables.
TI ya no puede cargar el cumplimiento en solitario
Durante años, los equipos de TI y Seguridad han sido quienes sostienen el riesgo real de la organización, muchas veces con pocas manos, poco presupuesto y poco respaldo. La seguridad siempre estuvo presente, pero como un problema técnico, encapsulado, que se resolvía “como se pudiera” mientras el negocio seguía avanzando.
Las nuevas leyes no trasladan toda la responsabilidad a TI; hacen exactamente lo contrario: exponen que el cumplimiento nunca fue solo técnico. Legal, Compliance, Operaciones y Dirección se convierten en actores fundamentales. Porque cuando ocurre un incidente, no basta con tener políticas bien redactadas si no existe control real sobre sistemas, accesos y dispositivos.
TI sigue siendo una pieza crítica, pero ya no puede —ni debe— operar aislado. El cumplimiento moderno exige decisiones de negocio, inversión, priorización y patrocinio ejecutivo. Exige que la seguridad deje de depender del esfuerzo individual y pase a sostenerse en procesos, herramientas y responsabilidades compartidas. La seguridad es tarea de todos.
Lo que realmente cambia en 2026 (más allá del texto de la ley)
Lo que cambia en 2026 no es solo que las leyes sean más exigentes; es que aparece un nuevo estándar implícito de evaluación. Antes, bastaba con mostrar intención, buena voluntad o un historial sin incidentes graves. Hoy no. El “cumplo” se traduce en preguntas concretas, verificables, que exigen respuestas técnicas y evidencia tangible.
La conversación ya no gira en torno a políticas escritas o frases bien formuladas, ahora gira en torno a contar con inventarios vivos, trazabilidad de activos, bitácoras de incidentes, flujos aprobados y respaldos comprobables. Y esto no es opcional: tanto la Ley 21.719 como la Ley 21.663 exigen controles que deben ser demostrables. El poder demostrar evidencia del cumplimiento forma parte implícita de la ley.
Ya no basta decir “sí cumplimos”
En 2026, las organizaciones que viven el cumplimiento en la operación, y no solo en el papel, van a sufrir mucho menos que aquellas que solo lo declaran. Y es un tema al que muchas organizaciones tendrán que adaptarse, ya que dicha evidencia es variada, se construye en informes y se genera todos los días.
¿A qué nos referimos con evidencia operativa cotidiana? A cosas como estas:
- Bitácoras de actividad: quién hizo qué, cuándo y desde dónde.
- Registros de incidentes: no basta con decir que se actuó, hay que demostrar el cómo y el cuándo.
- Inventarios vivos de activos: con responsables asignados, ubicación de activos (dispositivos, datos, usuarios, etc) y nivel de riesgo actualizado.
- Decisiones documentadas: evidencia de que las evaluaciones, los planes de acción y las respuestas no quedaron en reuniones de pasillo.
Checklist de Cumplimiento – Ley Marco de Ciberseguridad (21.663)
¿Quieres empezar con una hoja de ruta clara? Prepara a tu organización paso a paso para cumplir con las nuevas exigencias.
Descargar gratis
Checklist de Cumplimiento – Ley de protección de datos (21.719)
¿Quieres empezar con una hoja de ruta clara? Descarga este checklist práctico y prepara a tu organización para cumplir con las nuevas exigencias de la Ley de protección de datos de Chile.
Descargar Checklist
La nueva trinchera del cumplimiento: dispositivos, accesos y realidad operativa
Las leyes se vuelven reales cuando bajan a la operación diaria, pues TI está llena de frentes abiertos, con pocos recursos y poco respaldo desde arriba. Puedes tener la mejor política escrita, pero si no tienes visibilidad sobre tus equipos, accesos y usuarios, estás expuesto. Las nuevas exigencias legales no perdonan la improvisación ni preguntan si el equipo es chico: solo preguntan si puedes demostrar control.
En ese contexto, los dispositivos son una trinchera del cumplimiento que no se puede ignorar. Son el punto donde el riesgo legal se vuelve tangible, pues si se pierde una laptop con datos sensibles, o si un teléfono mal configurado abre la puerta a una brecha, todo lo demás da lo mismo.
Y lo mismo pasa con los accesos: un usuario sin control, una VPN con clave compartida o una sesión huérfana valen tanto como una filtración publicada.
TI en modo supervivencia: cuando el cumplimiento depende de personas, procesos y herramientas
Muchas áreas de TI en Chile no están trabajando mal; están trabajando al límite. Equipos reducidos, presupuestos acotados y una fila interminable de tareas hacen que cumplir con todo parezca misión imposible. Aun así, es en ese terreno donde hoy se juega el cumplimiento y es ahí donde hay que empezar a construir soluciones reales.
Empatía primero:
Tener a TI en modo de emergencia siempre es una respuesta lógica a equipos chicos, múltiples frentes abiertos, presupuestos ajustados y poca visibilidad a nivel ejecutivo. Apagar incendios, resolver rápido y sostener la operación con ingenio han sido, durante años, la única forma de sobrevivir. El problema no es el esfuerzo; es que ese modelo ya no escala frente a lo que exige 2026.
El problema real no es TI, es la dependencia de personas:
No basta con tener uno o dos técnicos que lo saben todo. Si el cumplimiento vive solo en sus cabezas, la organización entera queda frágil. No por falta de ganas, sino porque no hay respaldo ni procesos. Capacitar al equipo general es clave, así como documentar, automatizar y distribuir responsabilidades.
El nuevo marco regulatorio castiga la improvisación, no la falta de esfuerzo:
En 2026, ya no basta con decir “hicimos lo posible con lo que teníamos”. Las leyes nuevas no piden perfección, pero sí consistencia, continuidad y capacidad demostrable. Incluso si el entorno es limitado, se espera que las decisiones queden registradas, que los controles funcionen y que alguien pueda responder con claridad cuando algo falla. La buena intención ya no alcanza sin evidencia.
Más sistema como protección, no como carga:
Lo que hoy exigen las leyes chilenas ya se viene haciendo desde hace años en sectores de TI más maduros: procesos simples, roles claros y trazabilidad básica. No se trata de llenar papeles, sino de construir respaldo real. Tener inventario, saber quién accede a qué y dejar registro no es burocracia; es la única forma de que TI deje de ser el punto único de falla y gane respaldo institucional.
Lo que se viene en 2026 (opinión desde la cancha)
Trabajo en TI desde hace varias décadas, convivo con equipos de seguridad todos los días, y he visto lo que pasa en organizaciones en múltiples industrias y países (les recomiendo leer nuestro reporte SHIFT sobre ciberseguridad y teletrabajo en LATAM). He leído las leyes 21.719 y 21.663 de arriba a abajo, más de una vez, y puedo decir con certeza que 2026 agarrará desprevenido tanto al que nunca leyó la ley como al que creyó que “ya estaba cumpliendo” por tener un par de políticas al día.
Esto es lo que veo venir:
- Mayor fiscalización práctica y menor tolerancia al desorden operativo: Las multas no serán teóricas. Los fiscalizadores van a pedir logs, pruebas y registros, y si no hay evidencia, habrá sanciones de hasta 40.000 UTM (ley 21.663) y hasta 20.000 UTM (21.719).
- Incidentes con preguntas más incómodas y detalladas: Tanto la Agencia de Protección de Datos como la Agencia Nacional de Ciberseguridad (ANCI) tienen roles definidos como autoridades fiscalizadoras. Cuando ocurra un incidente, van a preguntar: quién tenía acceso, qué controles había, cómo reaccionaste, y qué evidencia tienes.
- Más presión de clientes, partners y aseguradoras —incluso fuera del marco regulado: Ahora que hay una base legal clara, la exigencia no vendrá solo de la ley. Los usuarios, aliados y proveedores también van a exigir seguridad, trazabilidad y control real. El soporte legal habilita una nueva cultura de exigencia técnica.
- Ventaja para quienes tienen procesos funcionales, no herramientas sofisticadas: Las herramientas complejas no sirven si nadie las usa bien. Las organizaciones que destaquen serán las que tengan procesos simples, claros y repetibles. Las que tengan a su equipo bien entrenado, sus activos ordenados y sus incidentes registrados.
En resumen, en 2026 las organizaciones deben prepararse para pasar auditorías y tener en mente que el auditor no las va a felicitar por tener licencias caras. Les va a pedir ver si todo eso realmente opera.
El cumplimiento ya no es una promesa, es una capacidad
2026 no va a perdonar el desorden crónico, pero tampoco se trata de ser perfectos. Lo que se espera es tener control real y sostenido en el tiempo. Y ese control no lo da un PDF bien escrito, lo da TI funcionando con cabeza, con registro y con respaldo. En ese escenario, TI deja de ser una entidad apaga fuegos y pasa a ser clave para que todo lo demás funcione, obviamente, con apoyo de los demás equipos relevantes y con entrenamiento de seguridad básico de todos los colaboradores.
