Volver al blog
Ley 21.719brechas de seguridaddata breachdatos personalesChilecumplimientociberseguridad

Brechas de seguridad: el plazo de 72 horas que cambia todo

Cómo notificar una brecha de seguridad de datos personales bajo la Ley 21.719 de Chile: definición legal, plazo a la APDP, contenido del aviso, comunicación a titulares y plan de respuesta.

Equipo FideliNorm
Brechas de seguridad: el plazo de 72 horas que cambia todo

Cuando ocurre una brecha de datos personales, las primeras 72 horas separan un incidente bien gestionado de un caso público con multa. La Ley 21.719 introduce por primera vez en Chile la obligación expresa de notificar las brechas a la Agencia de Protección de Datos Personales (APDP) y, cuando el riesgo lo amerita, también a los titulares afectados.

Acá te explicamos qué cuenta como brecha bajo la ley chilena, qué plazos rigen, qué información tiene que llevar el aviso y cómo armar un plan de respuesta que aguante la presión del momento crítico.

Qué es una brecha de seguridad

Bajo la Ley 21.719, una brecha es toda violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales tratados por el responsable o el encargado.

La definición es deliberadamente amplia y abarca tres tipologías:

  • Brecha de confidencialidad: terceros no autorizados acceden a los datos (intrusión, robo de equipo, error de envío masivo).
  • Brecha de integridad: los datos son alterados sin autorización (corrupción de base, sobreescritura indebida, ransomware con manipulación).
  • Brecha de disponibilidad: los datos se pierden o se vuelven inaccesibles (eliminación accidental, ransomware sin respaldo, falla catastrófica).

Ojo con esto: no toda incidencia técnica es brecha en sentido legal. Una caída del sitio web sin acceso indebido a información, por ejemplo, no activa la obligación de notificar. La calificación es siempre caso a caso.

El plazo: 72 horas como referencia

La ley obliga a notificar "sin demora injustificada" desde que el responsable toma conocimiento de la brecha. El texto legal no fija un número de horas explícito en todos los supuestos, pero el estándar internacional (fijado por el GDPR y previsiblemente adoptado como referencia por la APDP) es de 72 horas.

En la práctica, asume que tu organización tiene tres días desde la detección para hacer cuatro cosas:

  1. Confirmar que ocurrió una brecha (no un falso positivo).
  2. Caracterizar el alcance: tipo de datos, cantidad de titulares, vector.
  3. Adoptar medidas de contención.
  4. Preparar y enviar la notificación a la APDP.

Si no alcanzas a reunir toda la información dentro del plazo, la notificación inicial se envía con lo que tengas y se complementa después. Lo que no es admisible es esperar a tener el incidente "resuelto" antes de avisar: la ley sanciona la demora, no la incompletitud razonable.

A quién notificar y con qué contenido

Notificación a la APDP

El aviso a la Agencia es obligatorio siempre que la brecha pueda implicar un riesgo para los derechos y libertades de los titulares. En la duda, se notifica.

Contenido mínimo:

  • Identificación del responsable y datos del DPO o punto de contacto.
  • Descripción de la brecha: cuándo ocurrió, cuándo se detectó, vector probable, sistemas afectados.
  • Categorías de datos comprometidos (identificación, contacto, financieros, sensibles).
  • Cantidad aproximada de titulares y de registros afectados.
  • Consecuencias probables para los titulares.
  • Medidas adoptadas o propuestas para mitigar el daño y prevenir recurrencia.
  • Si fueron notificados los titulares o, si no, justificación.

Notificación a los titulares

Cuando la brecha implique alto riesgo (exposición de datos sensibles, financieros, biométricos, o riesgo concreto de fraude o suplantación), también hay que avisar a los titulares afectados.

La comunicación debe ser clara, en lenguaje sencillo y entregar:

  • Naturaleza de la brecha.
  • Datos comprometidos.
  • Consecuencias probables.
  • Medidas que el titular puede tomar para protegerse (cambiar contraseñas, monitorear cuentas, contactar entidades).
  • Canal de contacto del DPO o punto designado.

La comunicación a titulares puede omitirse en tres casos: si los datos estaban cifrados de forma robusta y la clave no fue comprometida, si se aplicaron medidas posteriores que hagan improbable la materialización del riesgo, o si supone un esfuerzo desproporcionado (en cuyo caso se autoriza una comunicación pública equivalente).

El registro interno de brechas

Aunque la brecha no requiera notificación externa (porque al evaluar el riesgo se descartó), la ley exige que el responsable la registre internamente. El registro de brechas es uno de los primeros documentos que pedirá la APDP en una fiscalización.

Cada entrada del registro debe contener:

  • Fecha de detección.
  • Origen y vector.
  • Datos y sistemas afectados.
  • Cantidad de titulares.
  • Evaluación de riesgo realizada.
  • Decisión de notificar (o no) y su fundamento.
  • Medidas correctivas aplicadas.
  • Lecciones aprendidas.

Este registro debe conservarse al menos 5 años.

El plan de respuesta a incidentes

Improvisar una notificación en 72 horas es prácticamente imposible si no existe un plan preconstruido. Un plan operativo tiene seis bloques.

1. Equipo de respuesta

Roles claros y responsables identificados:

  • Líder del incidente (DPO o jefe de seguridad).
  • Equipo técnico (TI, ciberseguridad, forensia digital).
  • Equipo legal (interno y externo).
  • Comunicaciones (interno y, si aplica, prensa).
  • Negocio: gerencias afectadas y liderazgo ejecutivo.
  • Backup: cada rol con un suplente designado.

2. Detección y triage

Fuentes de detección: monitoreo SIEM, alertas de proveedores cloud, reclamos de titulares, denuncias internas, autoridad. Cada fuente con un canal definido y un acuse de recibo formal.

3. Contención

Aislar sistemas comprometidos, revocar accesos, rotar credenciales, aplicar parches de emergencia. La contención no debe destruir evidencia que permita reconstruir el incidente.

4. Evaluación de riesgo

Matriz formal: tipo de datos × cantidad de titulares × probabilidad de materialización × gravedad del daño = nivel de riesgo. Esta matriz determina si hay que notificar a la APDP, a los titulares, o solo registrar internamente.

5. Notificación

Plantillas listas para uso, validadas legalmente, completables en menos de dos horas. Canales preestablecidos con la APDP. Listas de distribución a titulares con segmentación por nivel de afectación.

6. Recuperación y lecciones aprendidas

Restauración de servicios, comunicación de cierre, post-mortem documentado, ajustes a controles, actualización del registro del banco de datos si cambió algo material.

Errores típicos que agravan la sanción

  • Demora deliberada para "investigar primero". La ley sanciona la demora; lo que se investiga puede notificarse con la información disponible.
  • Subestimar la calificación. Mejor notificar y luego cerrar que omitir y ser denunciado por un titular.
  • No tener trazabilidad técnica: sin logs no hay reconstrucción posible y la APDP presume el peor escenario.
  • Comunicaciones inconsistentes entre canales (titulares, prensa, autoridad).
  • Olvidar a los encargados del tratamiento. Si la brecha ocurrió en un proveedor, sigue siendo el responsable chileno quien debe notificar.
  • No registrar las brechas que no se notificaron. Para la APDP, una brecha no registrada es una brecha ocultada.

Cómo prepararse antes de que ocurra

  1. Construye el plan de respuesta y simúlalo al menos una vez al año (tabletop exercise).
  2. Define a tu DPO o líder de incidentes con respaldo del directorio.
  3. Implementa monitoreo y logging suficiente para detectar y reconstruir incidentes.
  4. Documenta tu inventario de datos para responder rápido la pregunta "¿qué datos había allí?".
  5. Cifra los datos en reposo y en tránsito. La robustez del cifrado puede eximirte de notificar a titulares.
  6. Negocia con tus encargados plazos de notificación inferiores a las 72 horas hacia ti, para tener margen.
  7. Alinea con ISO 27001 los procesos de gestión de incidentes (Anexo A control 5.24 y siguientes).
  8. Pre-aprueba con legal las plantillas de comunicación.
  9. Contrata seguro cyber que cubra al menos los costos de notificación y forensia.

La prueba de fuego de tu cumplimiento

La notificación de brechas es el momento donde se ve si la organización tiene cultura, equipos y procesos, o si solo tiene políticas en PDF. Las 72 horas no son un plazo legal estricto en todos los casos, pero sí son el estándar de diligencia que la APDP usará como referencia.

Las empresas que llegan a la primera brecha con un plan probado, registros completos, comunicaciones preaprobadas y proveedores alineados convierten un evento de crisis en un expediente de cumplimiento. Las que improvisan terminan firmando dos cosas: la notificación tardía y la resolución sancionatoria.

¿Tu empresa tiene plan de respuesta ante brechas de datos? Conversemos y diseñamos uno alineado con la Ley 21.719 e ISO 27001.

Artículos relacionados

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →