Marco Legal de Ciberseguridad en Brasil y Chile

Brasil debate reglas con financiamiento dedicado y gobernanza centralizada, mientras que Chile opera bajo una ley vigente, con agencia propia y una clasificación estandarizada de incidentes

Por *Maurício Vedovato y Juan Pablo González

Brasil debate un paso decisivo para superar las reacciones puntuales e inaugurar una era de seguridad digital con gobernanza, metas y recursos estables, mediante el Proyecto de Ley N.º 4.752/2025, que establecería el Marco Legal de Ciberseguridad, crearía el Programa Nacional de Seguridad y Resiliencia Digital y modificaría la Ley N.º 13.756/2018 a fin de asegurar respaldo financiero permanente a las iniciativas públicas.

El proyecto ya se encuentra ante la Comisión de Constitución, Justicia y Ciudadanía (CCJ) del Senado Federal, con el período de enmiendas abierto, y perfila una arquitectura central compuesta por una autoridad nacional con facultades normativas y de supervisión, un programa de adhesión federativa y mecanismos de implementación y seguimiento, señalando estándares mínimos obligatorios y una agenda integrada que abarca prevención, respuesta y continuidad de los servicios esenciales.

En el diseño institucional propuesto, la autoridad nacional que se designe por reglamento concentraría la definición de estándares, la supervisión y la auditoría, sujeta a consulta pública antes de imponer requisitos técnicos y organizativos; la adhesión de estados y municipios se vincula a compromisos objetivos, como el inventario de activos críticos, la definición de roles y un plan de adecuación, mientras la gestión de incidentes pasa a ser una rutina codificada con notificaciones obligatorias a la autoridad dentro de los plazos, formatos y contenidos que esta establezca —incluidos los participantes privados que se adhieran al programa—, apoyada por sistemas de monitoreo, alerta y reporte, y acompañada por disposiciones sobre la cadena de suministro que exigen conformidad contractual con estándares mínimos, ciclo de vida seguro, actualizaciones y soporte activo, incluida la posibilidad de restringir soluciones descontinuadas o sin soporte.

El proyecto innova en el arreglo presupuestario al proponer enmiendas a la Ley N.º 13.756/2018, estableciendo una reserva mínima del 3% del Fondo Nacional de Seguridad Pública para acciones de ciberseguridad y destinando el 2% de los ingresos de las apuestas de cuota fija específicamente a esa área; la medida crea previsibilidad para inversiones plurianuales, prioriza la modernización tecnológica, la capacitación, los centros de respuesta a incidentes y el apoyo a los entes federativos, y acorta la distancia entre la promulgación de normas y la construcción de capacidad operativa.

Mientras avanza la propuesta brasileña, Chile opera bajo la Ley N.º 21.663, promulgada en 2024, que estructuró la Agencia Nacional de Ciberseguridad (ANCI) con facultades para dictar protocolos y estándares, coordinar y supervisar al CSIRT Nacional (Equipo de Respuesta a Incidentes de Seguridad Informática), regular los servicios esenciales y designar a los Operadores de Importancia Vital (OIV), mantener un registro nacional de incidentes y aplicar un régimen sancionatorio escalonado, estableciendo deberes permanentes de prevención, notificación y resolución de incidentes, con fuerte apego a las mejores prácticas internacionales para los servicios esenciales y un régimen específico de obligaciones para los OIV.

La implementación en Chile se consolidó en 2025 mediante el Decreto con Fuerza de Ley (DFL) N.º 1, que estableció el inicio de actividades de la ANCI el 1 de enero de 2025. Por su parte, las obligaciones para los servicios esenciales y los OIV, así como el régimen de infracciones, comenzaron a regir el 1 de marzo de 2025.

Entre los instrumentos más relevantes, el Decreto Supremo N.º 295 ordenó la comunicación al CSIRT Nacional de los incidentes con efecto significativo y organizó la operación en torno a una alerta inicial dentro de las tres horas posteriores a la toma de conocimiento del evento, una taxonomía estandarizada con contenido mínimo y una trazabilidad documental compuesta por informes de seguimiento y un informe final, a la vez que habilitó a la ANCI para actualizar la taxonomía mediante resolución y modular exenciones técnicas cuando corresponda; este enfoque estandariza la comunicación, acelera la coordinación intersectorial y mejora la conciencia situacional del Estado.

El contraste entre ambas agendas pone de relieve convergencias y complementariedades valiosas: en Brasil, la combinación de una autoridad nacional, un programa federativo y una fuente estable de financiamiento aborda cuellos de botella de comando normativo, implementación desigual y discontinuidad presupuestaria; en Chile, el andamiaje institucional ya opera con plazos y contenidos de notificación a través de un portal, clasificación estandarizada y potestades de supervisión del CSIRT, con métricas claras de respuesta a incidentes, en un proceso de implementación continua.

El momento es propicio para consolidar en Brasil una política de Estado en ciberseguridad, aprovechando la madurez regulatoria de Chile y combinando la escala y el financiamiento del proyecto brasileño con la ejecución pragmática y la notificación de incidentes ya vigentes en Chile, reduciendo así el tiempo entre la aprobación legal y la entrega de resiliencia mensurable para gobiernos y operadores de infraestructura crítica, especialmente en un contexto regional de rápida evolución regulatoria.

*Maurício Vedovato es socio de HRSA Sociedade de Advogados, con especialidad en Asesoría Jurídica, Tecnología, Internet, Medios, Comunicaciones y Derecho del Entretenimiento.

*Juan Pablo González es director del área de Protección de Datos Personales, Ciberseguridad y Nuevas Tecnologías de HD Group.