La ciberseguridad en Chile y su estrecha vinculación con la protección de datos personales, nos ha entregado un nuevo caso de estudio que, no solamente nos resulta relevante por su magnitud, sino porque, será el ejemplo más práctico de los desafíos para este 2026 en materia de compliance.

El 2026 representa la puesta en marcha de un cambio de paradigma regulatorio en nuestro país. La entrada en vigor de la nueva Ley de Protección de Datos Personales, junto con la plena operatividad de la Ley Marco de Ciberseguridad, elevan de manera considerable los estándares de seguridad y deber de cuidado que hoy mantienen las organizaciones, críticas o no, respecto de sus sistemas y datos personales.

En este contexto se inserta el ciberataque sufrido por Clínica Dávila el pasado 18 de diciembre de 2025, que implicó la sustracción de 250 gigabytes de información altamente sensible. Por la naturaleza del sector salud, no cabe duda respecto de la categoría de los datos comprometidos, dentro de los cuales se incluirían fichas clínicas, diagnósticos médicos, resultados de exámenes y otra información sensible, cuya exposición genera riesgos significativos para los pacientes de esta clínica.

Si hablamos del marco regulatorio, la Ley de Protección de Datos Personales inserta como uno de sus pilares al “principio de seguridad”, conforme al cual el responsable del tratamiento del dato es quien debe garantizar estándares adecuados de protección, siendo responsable ante pérdida o filtración de estos. Sin embargo, este caso se enmarca, además, directamente en la Ley Marco de Ciberseguridad, especialmente si se tiene en vista que, Clínica Dávila fue designada Operador de Importancia Vital (OIV) por la Agencia Nacional de Ciberseguridad (ANCI). Este nombramiento supone deberes reforzados en materia de gestión de riesgos, continuidad operacional, monitoreo permanente, ejercicios y simulacros, junto a otros deberes específicos.

En consecuencia, las obligaciones se definen mucho antes de que ocurra un incidente, y particularmente en la calidad de los sistemas de gestión de seguridad de la información, en la capacitación efectiva y en la validación de los controles técnicos. A mayor abundamiento, cabe mencionar que un Operador de Importancia Vital puede enfrentar sanciones de hasta 40.000 UTM si no logra acreditar la adopción oportuna y expedita de las medidas necesarias para reducir el impacto y la propagación de un incidente de esta magnitud.

La ejecución de estas normativas en términos de materia de ciberseguridad y protección de datos personales obliga a replantearnos la idea de si nuestras organizaciones están listas para afrontar estos desafíos, o aún más, si como pacientes, clientes o usuarios, nuestra información podría verse expuesta como consecuencia de un ciberataque.

En este escenario, que ya no es nuevo, donde gran parte de las industrias se sustentan de un ecosistema completamente digitalizado, el compliance deja de ser un área de soporte para transformarse en un pilar estratégico de cualquier organización, donde derecho y tecnología convergen para construir una defensa real frente a este tipo de amenazas. Quienes no comprendan el desafío que impone 2026 no solo arriesgan sanciones, sino también su solvencia financiera, su reputación, su intachabilidad legal y, lo más grave, la confianza y seguridad de las personas a quienes dicen proteger.