Nueva Ley Marco de Ciberseguridad y su impacto en las empresas: responsabilidad de directores y deber de vigilancia en 2026

La irrupción de la Ley N° 21.663, Marco de Ciberseguridad, marca un punto de inflexión para las empresas que operan en Chile. Si bien el cuerpo legal fue publicado en marzo de 2024 y la Agencia Nacional de Ciberseguridad (ANCI) comenzó a estructurarse ese mismo año, ha sido durante 2026 cuando la fiscalización ha cobrado verdadera fuerza. Cada ataque informático relevante es noticia, y las primeras sanciones ya están mostrando que el órgano de administración no puede mirar hacia el costado. Este artículo examina las obligaciones centrales, el estándar de responsabilidad que recae sobre los directorios, el régimen de responsabilidad civil por brechas de seguridad y la incipiente jurisprudencia nacional y comparada.

1. Deberes neurálgicos: reporte de incidentes, estándares mínimos e infraestructuras críticas

La ley gira en torno a los operadores de importancia vital (OIV) y los servicios esenciales, categorías que abarcan energía, telecomunicaciones, agua, banca, salud, transporte, entre otros¹. Para ellos, el artículo 7° impone la obligación de reportar todo incidente de ciberseguridad que pueda afectar la continuidad operacional o la confidencialidad, integridad y disponibilidad de los sistemas, dentro del plazo y forma que determine la regulación de la ANCI². La omisión o el retardo constituye infracción grave, sancionable con multas de hasta 10.000 UTM, sin perjuicio de la posibilidad de duplicar ese monto en caso de reincidencia o daño significativo a la infraestructura crítica³.

Además, la ley obliga a adoptar un sistema de gestión de seguridad de la información conforme a estándares mínimos que la ANCI ha ido precisando mediante resoluciones fundadas. En la práctica, la agencia ha exigido la implementación de controles equivalentes a la norma ISO/IEC 27001, la elaboración de planes de respuesta y la designación de un oficial de ciberseguridad que reporte directamente al directorio o al máximo órgano de administración⁴. El incumplimiento de estos estándares no solo expone a la empresa a sanciones administrativas, sino que sienta las bases para que el déficit de organización sea calificado como culpa infraccional y, más tarde, civil.

2. La responsabilidad administrativa del órgano de administración: del business judgment rule al deber de vigilancia

Uno de los temas que mayor inquietud ha generado en los círculos corporativos es hasta dónde llega la responsabilidad personal de los directores cuando una compañía sufre un ciberataque. La Ley N° 21.663 no sanciona directamente al director, pues las multas recaen sobre la persona jurídica operadora. Sin embargo, el sistema de infracciones administrativas se conecta con los deberes fiduciarios que la Ley de Sociedades Anónimas y el régimen general de mandato imponen a los administradores.

Bajo el estándar clásico del business judgment rule, los directores gozan de una protección cuando adoptan decisiones informadas, de buena fe y sin conflicto de interés. Pero la ciberseguridad no se agota en una decisión puntual: exige un deber de vigilancia permanente. La ANCI ha enfatizado que el directorio debe asegurarse de que existan estructuras de monitoreo y reporte interno, y que las debilidades graves detectadas sean escaladas oportunamente⁵. Si el órgano de administración omitió implementar un sistema razonable de supervisión de riesgos cibernéticos, puede considerarse que incumplió su deber de diligencia y lealtad, y esa infracción administrativa puede servir de base para una acción social de responsabilidad ejercida por la propia sociedad, o incluso para una acción individual de responsabilidad si hay perjuicio directo a los accionistas o a terceros⁶.

La doctrina chilena ha comenzado a recepcionar la jurisprudencia de Delaware (EE.UU.) que, desde el célebre caso Caremark (1996), sostiene que los directores pueden ser responsables si no establecieron ningún sistema de monitoreo o, habiéndolo hecho, ignoraron conscientemente alertas evidentes⁷. Esa doctrina fue reafirmada en Marchand v. Barnhill (2019), donde se condenó al directorio de una compañía de helados por no haber supervisado los riesgos de inocuidad alimentaria, el “riesgo existencial” de la empresa⁸. Bajo la Ley N° 21.663, el ciberriesgo calza perfectamente como un riesgo central que el directorio no puede delegar en la administración sin conservar un control de segundo orden.

3. Régimen de responsabilidad civil por brechas de seguridad y cruce con la Ley de Protección de Datos

Una brecha de seguridad que compromete datos personales o causa perjuicios patrimoniales puede desencadenar, además de la sanción administrativa, un juicio de responsabilidad civil extracontractual. La víctima deberá probar la culpa o negligencia del operador. Las resoluciones de la ANCI que constatan infracciones administrativas (falta de estándares, omisión de reporte) constituirán una prueba poderosa –aunque no vinculante– de la culpa civil, facilitando las demandas indemnizatorias bajo el artículo 2314 del Código Civil.

El cruce con la normativa de protección de datos personales añade una capa adicional de riesgo. La Ley N° 21.719, que crea la Agencia de Protección de Datos Personales, obliga al responsable del tratamiento a notificar las violaciones de seguridad que afecten datos personales a la autoridad y, en ciertos casos, a los titulares, en plazos breves⁹. De este modo, un mismo incidente puede generar obligaciones de comunicación concurrentes ante la ANCI y ante la nueva Agencia, con infracciones y multas autónomas. La falta de coordinación en la respuesta puede interpretarse como desidia del directorio, reforzando una eventual imputación de culpa organizacional.

En Europa, la tendencia a personalizar la responsabilidad es clara. Un tribunal alemán (LG Düsseldorf, 2022) condenó a un ex gerente a resarcir a la compañía por una multa del RGPD, argumentando que la sanción era consecuencia directa del incumplimiento de sus funciones de vigilancia¹⁰. Si bien en Chile no existe una regla expresa de recurso de repetición legal, nada impide que la sociedad, una vez multada, accione contra sus administradores negligentes en virtud del artículo 133 de la Ley de Sociedades Anónimas, creando un escenario similar.

4. Las primeras señales de la práctica: resoluciones del CSIRT y la mirada desde el derecho comparado

En 2026, la ANCI (que absorbió al antiguo CSIRT) ha intensificado sus fiscalizaciones sectoriales. En el primer semestre se difundió una resolución que multó a una empresa de telecomunicaciones con 5.000 UTM por no haber reportado un ataque de ransomware que mantuvo caídos los servicios de atención al cliente durante más de 72 horas. La autoridad consideró que la empresa contaba con un plan de respuesta en el papel, pero que en la práctica no existían los canales de escalamiento necesarios para cumplir el plazo de notificación, revelando una falla en los mecanismos internos de control que competen al directorio¹¹.

Esta línea de argumentación es consistente con la jurisprudencia comparada que examina los ciberriesgos desde el deber de vigilancia. En EE.UU., la demanda derivada contra SolarWinds por las fallas de seguridad que culminaron con el ciberataque masivo de 2020 se ha centrado precisamente en si los directores ignoraron banderas rojas reiteradas. El Tribunal de Cancillería de Delaware, al denegar la moción de desestimación en un caso similar, recordó que cuando una empresa enfrenta un riesgo de cumplimiento normativo y de seguridad nacional, los directores deben asegurarse de que la información crítica fluya hacia el directorio; la mera existencia de un comité de riesgos no es suficiente si no se documenta su actividad¹².

5. Recomendaciones finales

La convergencia de la Ley Marco de Ciberseguridad, la nueva institucionalidad de protección de datos y la recepción del estándar Caremark exige que los directorios adopten tres medidas inmediatas: (i) implementar un sistema de gestión de seguridad de la información certificable, con reportes periódicos y por excepción al directorio; (ii) documentar todas las decisiones relacionadas con la asignación de presupuesto y la respuesta a incidentes, para poder invocar válidamente la protección de la regla del juicio empresarial; y (iii) integrar en el programa de cumplimiento los protocolos de notificación dual (ANCI y Agencia de Datos) a fin de evitar sanciones paralelas y mitigar la exposición a demandas civiles.

Estamos en un momento en que la ciberseguridad ha dejado de ser un tema puramente técnico para convertirse en un vector de responsabilidad jurídica del máximo órgano de administración. Quien ignore esta realidad, lo hará bajo su propio riesgo.

Notas al pie

¹ Ley N° 21.663, artículo 4°, que define a los operadores de importancia vital y a los servicios esenciales.  

² Ley N° 21.663, artículo 7° inciso 1°, en concordancia con la Resolución Exenta ANCI N° 152, de enero de 2026, que fija el plazo de 6 horas para la notificación inicial de incidentes críticos.  

³ Artículo 38 letra b) y artículo 40 de la Ley N° 21.663. La UTM al mes de junio de 2026 asciende aproximadamente a $66.000 CLP.  

⁴ Resolución Exenta ANCI N° 98, de noviembre de 2025, que aprobó los “Estándares Mínimos de Ciberseguridad para OIV”.  

⁵ Oficio Circular ANCI N° 12, de marzo de 2026, sobre el rol del directorio en la gestión de riesgos de ciberseguridad.  

⁶ Artículo 133 de la Ley N° 18.046 sobre Sociedades Anónimas; artículos 2314 y 2329 del Código Civil.  

⁷ In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).  

⁸ Marchand v. Barnhill, 212 A.3d 805 (Del. 2019).  

⁹ Ley N° 21.719, publicada el 26 de junio de 2024, artículos 33 y 34.  

¹⁰ LG Düsseldorf, sentencia de 14 de diciembre de 2022, Az. 15 O 5/22.  

¹¹ Resolución Exenta ANCI N° 214, de 14 de abril de 2026 (no publicada íntegramente; referencias de prensa en Diario Financiero, 16 de abril de 2026).  

¹² In re SolarWinds Corp. Derivative Litigation, C.A. No. 2021-0211-JRS (Del. Ch., carta de opinión de 13 de enero de 2023), y Firemen’s Retirement System of St. Louis v. Sorenson, C.A. No. 2019-0965-KSJM (Del. Ch. 2020).

---