Ley 21.663: cómo cumplirla si tu empresa usa Odoo
La Ley Marco de Ciberseguridad chilena entró en vigor en 2024. Si tu empresa presta servicios esenciales o fue calificada como Operador de Importancia Vital, tu ERP es parte del alcance regulatorio. Te explicamos qué obligaciones aplican, qué multas te exponen y cómo cumplir desde Odoo.
Lo que tienes que saber en 90 segundos
La Ley 21.663, Ley Marco de Ciberseguridad, fue promulgada el 26 de marzo de 2024 y publicada el 8 de abril de 2024. Versión vigente: 1 de marzo de 2025.
- Crea la Agencia Nacional de Ciberseguridad (ANCI), encargada de fiscalizar, sancionar y dictar estándares.
- Crea el CSIRT Nacional, equipo de respuesta ante incidentes informáticos.
- Define dos categorías de empresas obligadas: prestadores de servicios esenciales y Operadores de Importancia Vital (OIV).
- Régimen de multas hasta 40.000 UTM (alrededor de $2.720 millones de pesos chilenos).
- Modifica la Ley 21.459 sobre delitos informáticos: hoy es legal investigar vulnerabilidades sin sanción penal si se cumplen las 7 condiciones del nuevo Art. 2 inciso final.
Si tu empresa opera con Odoo Enterprise, gran parte de las obligaciones recaen sobre cómo está configurado, monitoreado y respaldado tu ERP.
¿La Ley 21.663 aplica a mi empresa?
La ley aplica directamente a quienes presten servicios esenciales según el Art. 4. Aplica con obligaciones reforzadas a quienes ANCI califique como Operadores de Importancia Vital (Art. 5-6).
Servicios esenciales según el Art. 4 incluyen:
- Banca, servicios financieros y medios de pago
- Salud institucional: hospitales, clínicas, consultorios
- Producción e investigación de productos farmacéuticos
- Telecomunicaciones e infraestructura digital
- Servicios de TI gestionados por terceros
- Generación, transmisión y distribución eléctrica
- Combustibles, agua potable, saneamiento
- Transporte terrestre, aéreo, marítimo, ferroviario
- Administración de prestaciones de seguridad social
- Servicios postales y de mensajería
¿Eres pyme y crees que no aplica? El Art. 5 inciso final obliga a ANCI a considerar las características de las micro, pequeñas y medianas empresas. Esto significa medidas diferenciadas, no exención automática.
Las 9 obligaciones del Art. 8 — qué significan en tu Odoo
El Art. 8 de la Ley 21.663 establece nueve deberes específicos para los Operadores de Importancia Vital. La mayoría se traducen en configuración, monitoreo y procesos sobre tu ERP.
| Letra | Obligación legal | En tu Odoo se traduce en |
|---|---|---|
| a) | Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) continuo | Política documentada de gestión de accesos, control de cambios, gestión de respaldos, monitoreo. Configuración de res.users.log, record rules, políticas de password |
| b) | Mantener registro de las acciones del SGSI | Audit log inmutable de toda operación CRUD. Hash encadenado SHA-256 que detecta tampering. Esto es exactamente lo que hace nuestro módulo Security Sentinel |
| c) | Plan de Continuidad Operacional + Ciberseguridad certificado cada 2 años | Documento formal con RTO/RPO definidos, procedimientos de failover, simulacros documentados. Backups testeados con restore real |
| d) | Operaciones continuas de revisión, simulacros y análisis | Pentests periódicos, escaneo de vulnerabilidades sobre la VM y los módulos custom, ejercicios de recuperación |
| e) | Adopción oportuna de medidas para reducir impacto de incidentes | Plan de Respuesta a Incidentes con roles, contactos, decision tree. Capacidad de aislar el ERP en minutos |
| f) | Contar con las certificaciones del Art. 28 | Certificación emitida por centro acreditado por ANCI. Hoy se está formando el registro de certificadores |
| g) | Informar a potenciales afectados sobre incidentes | Procedimiento de notificación a clientes y empleados cuando hay compromiso de datos personales (interconectado con Ley 19.628) |
| h) | Programas de capacitación y ciberhigiene | Capacitación periódica al equipo en phishing, manejo de credenciales, uso seguro del ERP. Documentado |
| i) | Designar un Delegado de Ciberseguridad (contraparte ANCI) | Persona nominada con poder de decisión, que reporta a la jefatura. Puede ser interno o externo |
Plazos del Art. 9 cuando ocurre un incidente
| Plazo | Acción |
|---|---|
| 3 horas | Alerta temprana |
| 72 horas (24 si eres OIV con servicio afectado) | Actualización con evaluación inicial e indicadores de compromiso |
| 15 días corridos | Informe final con causa raíz y mitigaciones |
| 7 días corridos (solo OIV) | Comunicar plan de acción al CSIRT |
El reloj de las 3 horas empieza a correr desde que tomas conocimiento del incidente, no desde que lo confirmas.
Multas de la Ley 21.663
Las infracciones se clasifican en leves, graves y gravísimas (Art. 38). Las multas (Art. 40):
| Tipo | Empresa común | Operador de Importancia Vital |
|---|---|---|
| Leve | hasta 5.000 UTM (≈ $340M) | hasta 10.000 UTM (≈ $680M) |
| Grave | hasta 10.000 UTM (≈ $680M) | hasta 20.000 UTM (≈ $1.360M) |
| Gravísima | hasta 20.000 UTM (≈ $1.360M) | hasta 40.000 UTM (≈ $2.720M) |
UTM mayo 2026: $68.034. La conversión a pesos es referencial.
Bonificación por pronto pago (Art. 45): si pagas dentro de los 5 días siguientes y no interpones recursos, la multa se reduce un 25%.
Cómo te ayudamos a cumplir desde Odoo
Somos especialistas en seguridad sobre Odoo. Traducimos cada obligación de la Ley 21.663 a configuración, código y procesos sobre tu ERP.
Diagnóstico Ley 21.663
Auditoría inicial contra Art. 7 y Art. 8. Checklist 50+ puntos. Informe ejecutivo + roadmap.
Desde 25 UF · 5-8 días hábiles
Implementación SGSI sobre Odoo
Sistema de Gestión de Seguridad de la Información mapeado a tu Odoo. Cubre Art. 8a, 8b, 8d, 8e.
Desde 80 UF · 6-10 semanas
Plan de Continuidad Operacional
Documento formal del Art. 8c con RTO/RPO. Acompañamiento al proceso de certificación cada 2 años.
Desde 60 UF · 4-6 semanas
Delegado de Ciberseguridad as a Service
Cumplimos el rol del Art. 8i. Contraparte ANCI, supervisión SGSI, gestión reportes.
Desde 8 UF/mes · retainer mensual
Auditoría de Penetración Legal
Pentest amparado en Art. 55. Reporte estilo CVE con priorización CVSS. Retest incluido.
Desde 40 UF · 2-3 semanas
Capacitación + ciberhigiene
Cumple Art. 8h. Cursos grupales adaptados al rubro y a tu Odoo específicamente.
Desde 5 UF/curso · 4-8 horas
Módulos que cubren Art. 8b directamente
Security Sentinel — Audit Log inmutable hash-encadenado SHA-256 — USD 249
POS Sentinel — Detección de fraude POS en tiempo real — USD 299
Preguntas frecuentes
¿Mi pyme está obligada por la Ley 21.663?
Si presta uno de los servicios esenciales del Art. 4, sí. El Art. 5 obliga a ANCI a establecer medidas diferenciadas según tamaño. Una pyme de salud no enfrenta las mismas exigencias que una clínica grande, pero no queda exenta.
¿Qué es la ANCI?
La Agencia Nacional de Ciberseguridad es un servicio público funcionalmente descentralizado, dependiente del Ministerio del Interior y Seguridad Pública. Sede en Santiago. Director designado por Sistema de Alta Dirección Pública.
¿Cuándo me califican como Operador de Importancia Vital?
ANCI tiene la facultad exclusiva. El proceso incluye informe sectorial, consulta pública (30 días para empresas privadas), informe de Hacienda y resolución fundada del Director. Se revisa al menos cada 3 años.
¿Tengo que reportar todo incidente?
No. Solo los incidentes de efecto significativo según el Art. 27: aquellos que interrumpan un servicio esencial, afecten integridad física, o comprometan sistemas con datos personales.
¿La dirección IP es un dato personal bajo esta ley?
No. El Art. 11 letra j) y el Art. 27 inciso final aclaran que para efectos de la Ley 21.663 la dirección IP no se considera dato personal. Esto facilita la entrega de logs a ANCI sin conflicto con Ley 19.628.
¿Qué pasa con el Convenio de Budapest y la Ley 21.459?
La Ley 21.663 modifica el Art. 2 de la Ley 21.459 agregando un inciso que despenaliza el acceso a sistemas informáticos cuando se cumplen 7 condiciones (registro ANCI, notificación previa, reporte responsable, sin ánimo de lucro, sin divulgación pública). Es la base legal del hacking ético en Chile.
Hablemos de tu cumplimiento
Las multas son materiales, los plazos son cortos y la fiscalización es real. Si tu empresa ya usa Odoo, gran parte del trabajo se hace dentro del ERP.
Agendamos 30 minutos sin compromiso. En esa llamada:
- Te decimos honestamente si la Ley te aplica y con qué nivel
- Identificamos los 3 a 5 hallazgos más críticos sobre tu Odoo actual
- Te entregamos un mapa de prioridades
contacto@neurodev.cl
Este contenido es informativo y refleja el texto vigente de la Ley 21.663 al 1 de marzo de 2025. No constituye asesoría legal específica. Para casos concretos, recomendamos asesoría con abogado especializado en regulación digital. Para implementación técnica sobre Odoo, contáctanos.
Fuente oficial: Biblioteca del Congreso Nacional de Chile.