Ley 21.719 · Cumplimiento activo
Servicio Insignia · IDATA Chile

Cumplimiento Normativo
integrado y ejecutable

Diagnóstico, GAP analysis y roadmap priorizado para las tres leyes que hoy regulan a las empresas chilenas: Ciberseguridad, Protección de Datos y Delitos Económicos. Enfoque práctico, basado en riesgos, con entregables que puedes implementar.

3 leyes cubiertas en paralelo
Metodología en 3 fases
Equipo multidisciplinario
Ley 21.663
Marco de Ciberseguridad
Ley 21.719
Protección de Datos Personales
Ley 21.595
Delitos Económicos y Compliance
Roadmap 12–24 meses
Con estimación CAPEX/OPEX y quick wins priorizados

Las tres leyes que tu empresa debe cumplir

Evaluamos tu situación actual frente a cada marco y te entregamos un plan de acción claro para cada uno.

Ley 21.663

Marco de Ciberseguridad

Obliga a los operadores de infraestructura crítica a implementar controles de seguridad, gestionar incidentes y reportar al CSIRT Nacional.

  • Clasificación como operador de infraestructura crítica
  • Controles mínimos exigidos y su estado de implementación
  • Procedimientos de gestión y reporte de incidentes
  • Evaluación de infraestructura on-premise y cloud
  • Gestión de vulnerabilidades y obsolescencia tecnológica
  • Revisión de entornos OT/IoT y dispositivos conectados
Ley 21.719

Protección de Datos Personales

Actualiza el marco chileno de protección de datos con nuevas bases de licitud, derechos ARCO+ y obligaciones reforzadas para datos sensibles de salud.

  • Inventario y clasificación de datos personales y sensibles
  • Bases de licitud por actividad de tratamiento
  • Procedimientos para el ejercicio de derechos ARCO+
  • Contratos con encargados de tratamiento y terceros
  • Medidas técnicas y organizativas proporcionales al riesgo
  • Evaluación del rol de DPO y necesidad de designación
Ver consultor Ley 21.719 → ¿Qué pasa si no cumplo antes del 1-dic-2026? → Cómo reducir la multa: modelo de prevención →
Ley 21.595

Delitos Económicos y Compliance

Establece la responsabilidad penal de personas jurídicas por delitos cometidos por directivos y empleados. Exige un Modelo de Prevención formal.

  • Evaluación del Modelo de Prevención de Delitos vigente
  • Canal de denuncias y encargado de prevención
  • Debida diligencia en la cadena de valor y terceros
  • Políticas anticorrupción y de compliance corporativo
  • Estructura RACI de gobierno y responsabilidades
  • Plan de capacitación por rol y área organizacional

Un modelo, tres leyes

Las tres leyes comparten una misma columna vertebral: gobierno, gestión de riesgos, respuesta a incidentes y trazabilidad. Por eso no las evaluamos por separado: construimos una matriz de cumplimiento integrada que evita duplicar esfuerzos y detecta sinergias entre obligaciones.

Comparación de las tres leyes de cumplimiento normativo en Chile
Ley Obligados principales Autoridad fiscalizadora Riesgo de incumplimiento
Ley 21.663 Operadores de infraestructura crítica: salud, energía, finanzas, telecomunicaciones y agua ANCI · CSIRT Nacional Sanciones administrativas y obligación de reporte de incidentes en plazos acotados
Ley 21.719 Toda empresa que trate datos personales de clientes, colaboradores o usuarios Agencia de Protección de Datos Personales Multas proporcionales a la gravedad de la infracción y notificación obligatoria de brechas
Ley 21.595 Personas jurídicas expuestas a delitos económicos de directivos o empleados Ministerio Público Responsabilidad penal de la empresa, con sanciones que van desde multas hasta la disolución en casos graves

Metodología en 3 fases con entregables auditables

Cada fase concluye con entregables concretos y revisables. Duración total estimada: 8–12 semanas, según tamaño y complejidad de la organización.

3–5 semanas

Diagnóstico y Levantamiento

  • Inventario de activos críticos: tecnológicos, de datos y de procesos
  • Evaluación de madurez organizacional con modelo de referencia de 5 niveles
  • Diagnóstico documental: políticas, procedimientos, contratos y evidencias
  • Evaluación inicial de riesgos más críticos por área
  • Entrevistas con ejecutivos y workshops por área operacional
3–4 semanas

GAP Analysis y Matriz de Riesgos

  • GAP analysis estructurado por ley (21.663, 21.719, 21.595) e ISO 27001
  • Matriz Integrada de Riesgos: impacto, probabilidad, controles y prioridad
  • Evaluación de vulnerabilidades tecnológicas por severidad
  • Análisis de riesgos de terceros, tecnología conectada y continuidad operacional
  • Clasificación de brechas por criticidad, urgencia e impacto regulatorio
2–3 semanas

Roadmap y Modelo GRC

  • Roadmap priorizado a 12–24 meses con quick wins identificados
  • Estimación referencial CAPEX/OPEX por iniciativa
  • Modelo de Gobierno GRC: estructura, roles y RACI
  • KPIs de cumplimiento con fórmula y frecuencia de medición
  • Plan de capacitación por área y plan de acompañamiento

Medimos tu madurez, no solo tus brechas

La Fase 1 no termina con una lista de brechas: ubicamos a tu organización en un modelo de madurez de 5 niveles. Ese punto de partida define qué tan agresivo puede ser el roadmap y qué quick wins tienen mayor retorno.

Inicial
Sin procesos formales, respuesta reactiva
Repetible
Procesos básicos, dependientes de personas clave
Definido
Políticas documentadas y aplicadas de forma consistente
Gestionado
Métricas activas y mejora basada en datos
Optimizado
Mejora continua integrada a la gestión del riesgo del negocio

Especialistas en todas las áreas requeridas

Un equipo multidisciplinario que cubre cada dimensión del cumplimiento: técnica, legal, organizacional y de riesgos.

Ciberseguridad

Evaluación técnica de infraestructura on-premise y cloud, controles de acceso, gestión de vulnerabilidades, logs, trazabilidad y entornos OT/IoT.

Ley 21.663 · NIST · CIS Controls

Protección de Datos (DPO)

Inventario de datos personales sensibles, evaluación de bases de licitud, registro de tratamientos, contratos con encargados y procedimientos ARCO+.

Ley 21.719 · GDPR referencia

Compliance y Delitos Económicos

Evaluación del Modelo de Prevención de Delitos, canal de denuncias, encargado de prevención y debida diligencia en la cadena de valor.

Ley 21.595 · Gobierno Corporativo

Gestión de Riesgos

Construcción de la Matriz Integrada de Riesgos con metodología formal cualitativa y cuantitativa, priorización y propuesta de controles.

ISO 31000 · Metodología GRC

Continuidad Operacional

Evaluación de BCP y DRP existentes, análisis de impacto al negocio (BIA), identificación de funciones críticas y tolerancias de tiempo de recuperación.

ISO 22301 · BCP / DRP

Gobierno GRC

Diseño del modelo operativo GRC adaptado a la organización: estructura de gobierno, RACI, KPIs de cumplimiento y plan de capacitación por rol.

GRC · PMO · RACI · KPIs

Documentos ejecutables, no solo reportes

Todo lo que recibes al final del proceso está diseñado para ser implementado, no archivado.

Inventario de activos
Tecnológicos, de datos y de procesos con clasificación de criticidad
GAP Analysis por ley
Tabla estructurada por requerimiento con estado actual y recomendación
Matriz de Riesgos
Integrada: impacto, probabilidad, criticidad, controles y prioridad
Roadmap 12–24 meses
Cronograma priorizado con responsables, dependencias y quick wins
Estimación CAPEX/OPEX
Por iniciativa del roadmap para facilitar la planificación presupuestaria
Modelo de Gobierno GRC
Estructura, roles, RACI y KPIs con fórmula y frecuencia de medición
Plan de capacitación
Contenidos por público objetivo, modalidad y duración estimada
Plan de acompañamiento
Metodología, frecuencia y modalidad del seguimiento durante implementación

Enfoque práctico y conocimiento regulatorio chileno

No entregamos documentos genéricos. Evaluamos tu realidad operacional específica (infraestructura, procesos, equipo) y construimos un plan que tu organización puede ejecutar con los recursos que tiene.

Solicitar diagnóstico inicial
Conocimiento profundo de las 3 leyes chilenas
Equipo actualizado en Ley 21.663, 21.719 y 21.595, con experiencia en aplicación práctica para empresas en operación.
Experiencia en sectores regulados
Proyectos en salud, finanzas, energía y telecomunicaciones. En salud, por ejemplo, conocemos la cadena de datos clínicos y la gestión de equipos médicos conectados (IoMT).
Roadmap basado en riesgos reales, no en plantillas
Priorizamos las brechas por impacto regulatorio y riesgo operacional, no por orden normativo. Quick wins primero, proyectos complejos con hoja de ruta.
Integración con ISO 27001 y controles técnicos
Cruzamos el cumplimiento regulatorio con las buenas prácticas ISO 27001 y CIS Controls para maximizar el valor del proyecto.
Factura electrónica – Sin letra chica
Emitimos factura válida ante el SII. Desglose transparente por fase, horas estimadas y perfiles involucrados.

¿Tu empresa está preparada para las nuevas leyes?

Cuéntanos el tamaño de tu empresa y el sector en que operas. Te enviamos una propuesta personalizada en menos de 24 horas hábiles.

El cumplimiento normativo se fortalece con estos servicios especializados de IDATA Chile.