Volver al blog
Ley 21.719brechas de seguridaddata breachdatos personalesChilecumplimientociberseguridad

Brechas de seguridad: el plazo de 72 horas que cambia todo

Cómo notificar una brecha de seguridad de datos personales bajo la Ley 21.719 de Chile: definición legal, plazo a la Agencia de Protección de Datos Personales, contenido del aviso, comunicación a titulares y plan de respuesta a incidentes.

Equipo FideliNorm
Brechas de seguridad: el plazo de 72 horas que cambia todo

Cuando ocurre una brecha de seguridad de datos personales, las primeras 72 horas son las que separan un incidente gestionado de un caso público con multa. La Ley 21.719 de Protección de Datos Personales introduce por primera vez en Chile una obligación expresa de notificar las brechas a la Agencia de Protección de Datos Personales (APDP) y, cuando el riesgo lo justifica, también a los titulares afectados. Esta guía explica qué constituye una brecha bajo la ley chilena, qué plazos rigen, qué información debe contener el aviso y cómo construir un plan de respuesta a incidentes que resista la presión del momento crítico.

🔓 Qué es una brecha de seguridad de datos personales

Bajo la Ley 21.719, una brecha —o incidente de seguridad— es toda violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales tratados por el responsable o el encargado.

La definición es deliberadamente amplia y abarca tres tipologías clásicas:

  • Brecha de confidencialidad: terceros no autorizados acceden a los datos (intrusión, robo de equipo, error de envío masivo).
  • Brecha de integridad: los datos son alterados sin autorización (corrupción de base, sobreescritura indebida, ataque ransomware con manipulación).
  • Brecha de disponibilidad: los datos se pierden o se vuelven inaccesibles (eliminación accidental, ransomware sin respaldo, falla catastrófica).

Importante: no toda incidencia técnica es una brecha en el sentido legal. Un evento que afecte solo infraestructura sin involucrar datos personales (por ejemplo, una caída del sitio web sin acceso indebido a información) no activa la obligación de notificar. La calificación es siempre caso a caso.

⏱️ El plazo de notificación: 72 horas como referencia

La Ley 21.719 obliga a notificar sin demora injustificada desde que el responsable toma conocimiento de la brecha. Aunque el texto legal no fija un número de horas explícito en todos los supuestos, el estándar internacional —fijado por el GDPR y previsiblemente adoptado como referencia por la APDP— es de 72 horas.

En la práctica, debes asumir que tu organización dispone de tres días desde la detección para:

  1. Confirmar que ocurrió una brecha (no un falso positivo).
  2. Caracterizar el alcance: tipo de datos, cantidad de titulares, vector.
  3. Adoptar medidas de contención.
  4. Preparar y enviar la notificación a la APDP.

Si no es posible reunir toda la información dentro del plazo, la notificación inicial se envía con lo disponible y se complementa después con información adicional. Lo que no es admisible es esperar a tener el incidente "resuelto" antes de notificar: la ley sanciona la demora, no la incompletitud razonable.

📨 A quién notificar y con qué contenido

Notificación a la APDP

La notificación a la Agencia de Protección de Datos Personales es obligatoria siempre que la brecha pueda implicar un riesgo para los derechos y libertades de los titulares. En la duda, se notifica.

Contenido mínimo del aviso:

  • Identificación del responsable y datos del DPO o punto de contacto.
  • Descripción de la brecha: cuándo ocurrió, cuándo se detectó, vector probable, sistemas afectados.
  • Categorías de datos comprometidos (identificación, contacto, financieros, sensibles, etc.).
  • Cantidad aproximada de titulares y de registros afectados.
  • Consecuencias probables para los titulares.
  • Medidas adoptadas o propuestas para mitigar el daño y prevenir recurrencia.
  • Si fueron notificados los titulares o, en su defecto, justificación.

Notificación a los titulares

Cuando la brecha implique un alto riesgo para los derechos de los titulares (por ejemplo, exposición de datos sensibles, financieros, biométricos, o riesgo concreto de fraude o suplantación), el responsable también debe comunicar a los titulares afectados.

La comunicación debe ser clara, en lenguaje sencillo y entregar:

  • Naturaleza de la brecha.
  • Datos comprometidos.
  • Consecuencias probables.
  • Medidas que el titular puede tomar para protegerse (cambiar contraseñas, monitorear cuentas, contactar entidades).
  • Canal de contacto del DPO o punto designado.

La comunicación a titulares puede omitirse si los datos estaban cifrados de forma robusta y la clave no fue comprometida, si se aplicaron medidas posteriores que hagan improbable la materialización del riesgo, o si supone un esfuerzo desproporcionado (caso en que se autoriza una comunicación pública equivalente).

📋 El registro interno de brechas

Aun cuando una brecha no requiera notificación externa (por ejemplo, porque el riesgo se descartó tras la evaluación), la ley exige que el responsable la registre internamente. El registro de brechas es uno de los primeros documentos que pedirá la APDP en una fiscalización.

Cada entrada del registro debe contener:

  • Fecha de detección.
  • Origen y vector.
  • Datos y sistemas afectados.
  • Cantidad de titulares.
  • Evaluación de riesgo realizada.
  • Decisión de notificar (o no) y su fundamento.
  • Medidas correctivas aplicadas.
  • Lecciones aprendidas.

Este registro debe conservarse por al menos 5 años.

🛡️ El plan de respuesta a incidentes

Improvisar una notificación en 72 horas es prácticamente imposible si no existe plan de respuesta a incidentes preconstruido. Un plan operativo tiene seis bloques.

1. Equipo de respuesta

Roles y responsables claros:

  • Líder del incidente (DPO o jefe de seguridad).
  • Equipo técnico (TI, ciberseguridad, forensia digital).
  • Equipo legal (interno y externo).
  • Comunicaciones (interno y, si aplica, prensa).
  • Negocio: gerencias afectadas y liderazgo ejecutivo.
  • Backup: cada rol tiene un suplente designado.

2. Detección y triage

Fuentes de detección: monitoreo SIEM, alertas de proveedores cloud, reclamos de titulares, denuncias internas, autoridad. Cada fuente con un canal definido y un acuse de recibo formal.

3. Contención

Aislar sistemas comprometidos, revocar accesos, rotar credenciales, aplicar parches de emergencia. La contención no debe destruir evidencia que permita reconstruir el incidente.

4. Evaluación de riesgo

Matriz formal: tipo de datos × cantidad de titulares × probabilidad de materialización × gravedad del daño = nivel de riesgo. Esta matriz determina si hay que notificar a la APDP, a los titulares, o solo registrar internamente.

5. Notificación

Plantillas listas para uso, validadas legalmente, completables en menos de dos horas. Canales preestablecidos con la APDP. Listas de distribución a titulares con segmentación por nivel de afectación.

6. Recuperación y lecciones aprendidas

Restauración de servicios, comunicación de cierre, post-mortem documentado, ajustes a controles, actualización del registro del banco de datos si cambia algo material.

🚨 Errores típicos que agravan la sanción

  • Demora deliberada para "investigar primero". La ley sanciona la demora; lo que se investiga puede notificarse con la información disponible.
  • Subestimar la calificación de la brecha. Mejor notificar y luego cerrar que omitir y ser denunciado por un titular.
  • No tener trazabilidad técnica: sin logs no hay reconstrucción posible y la APDP presume el peor escenario.
  • Comunicaciones inconsistentes entre canales (titulares, prensa, autoridad).
  • Olvidar a los encargados del tratamiento. Si la brecha ocurrió en un proveedor, sigue siendo el responsable chileno quien debe notificar.
  • No registrar las brechas que no se notificaron. Para la APDP, una brecha no registrada es una brecha ocultada.

💡 Cómo prepararse antes de que ocurra

  1. Construye el plan de respuesta y simúlalo al menos una vez al año (tabletop exercise).
  2. Define a tu DPO o líder de incidentes con respaldo del directorio.
  3. Implementa monitoreo y logging suficiente para detectar y reconstruir incidentes.
  4. Documenta tu inventario de datos para responder rápidamente "¿qué datos había allí?".
  5. Cifra los datos en reposo y en tránsito: la robustez del cifrado puede eximirte de notificar a titulares.
  6. Negocia con tus encargados del tratamiento plazos de notificación inferiores a las 72 horas hacia ti, para tener margen.
  7. Alinea con ISO 27001 los procesos de gestión de incidentes (Anexo A control 5.24 y siguientes).
  8. Pre-aprueba con legal las plantillas de comunicación.
  9. Contrata seguro cyber que cubra al menos los costos de notificación y forensia.

📌 Conclusión

La notificación de brechas es la prueba de fuego operativa de la Ley 21.719. Es el momento donde se ve si la organización tiene cultura, equipos y procesos, o si tiene políticas en PDF y nada más. Las 72 horas no son un plazo legal estricto en todos los casos, pero sí son el estándar de diligencia que la APDP usará como referencia.

Las empresas que llegan a la primera brecha con un plan probado, registros completos, comunicaciones preaprobadas y proveedores alineados convierten un evento de crisis en un expediente de cumplimiento. Las que improvisan terminan firmando dos cosas: la notificación tardía y la resolución sancionatoria.

🚀 ¿Tu empresa tiene plan de respuesta ante brechas de datos?

En FideliNorm diseñamos planes de respuesta a incidentes alineados con la Ley 21.719 e ISO 27001, con plantillas listas, simulaciones anuales y matrices de evaluación de riesgo. Si quieres pasar la primera brecha con expediente en regla y sin titulares en la prensa, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →