Seguridad

Notificación de brechas en 72 horas: qué exige la Ley 21.719

Notificación de brechas en 72 horas: qué exige la Ley 21.719

La notificación de brechas 72 horas es una de las obligaciones más exigentes que introduce la Ley 21.719 en Chile. Cuando ocurre una vulneración de seguridad que afecta datos personales, la empresa no puede simplemente contenerla en silencio: debe informar a la Agencia de Protección de Datos Personales (APDP) sin dilación indebida y, en ciertos casos, también a las personas afectadas.

Publicada el 13 de diciembre de 2024 y con vigencia desde el 1 de diciembre de 2026, la ley convierte la gestión de incidentes en un asunto de cumplimiento, no solo técnico. En este artículo explicamos qué es una brecha, cómo funciona el plazo, a quién notificar, qué debe contener la notificación y cómo prepararse antes de que ocurra.

Qué es una brecha o vulneración de seguridad

Una brecha es cualquier incidente que compromete la seguridad de los datos personales y provoca su destrucción, pérdida, alteración, divulgación o acceso no autorizado. No se limita a un hackeo externo.

Entran también en esta categoría situaciones frecuentes y a veces subestimadas:

  • El robo o extravío de un notebook o teléfono con información.
  • El envío de datos por correo al destinatario equivocado.
  • Un ransomware que cifra o inutiliza las bases de datos.
  • Un empleado que accede o extrae datos sin autorización.
  • Una configuración incorrecta que deja una base expuesta en internet.

Lo relevante no es el origen del incidente, sino que se hayan visto comprometidos datos personales bajo tu responsabilidad.

El plazo: 72 horas y “sin dilación indebida”

La ley exige notificar a la Agencia sin dilación indebida desde que se toma conocimiento de la vulneración. Las guías y análisis de la normativa concretan ese estándar en un plazo de referencia de 72 horas.

Dos precisiones importantes:

  • El reloj parte cuando la organización toma conocimiento del incidente, no cuando ocurrió el ataque. Por eso la capacidad de detección es decisiva: si te enteras tarde, ya perdiste horas valiosas.
  • 72 horas es el marco de referencia, pero el principio rector es “sin dilación indebida”. Demorar sin justificación, aun dentro de las 72 horas, no es una buena defensa.

Ocultar o postergar deliberadamente la notificación puede configurar una infracción gravísima. Revisa nuestro artículo sobre las multas de la Ley 21.719 para dimensionar la exposición.

A quién se debe notificar

La ley distingue dos destinatarios, con criterios distintos.

A la Agencia de Protección de Datos Personales

La notificación a la APDP procede ante la vulneración de seguridad, sin dilación indebida. Es el canal formal para reportar el incidente a la autoridad fiscalizadora.

A los titulares afectados

Cuando la brecha implica un riesgo alto para los derechos de las personas afectadas, también hay que comunicárselo a ellas. Para evaluar ese riesgo se consideran factores como el tipo de datos comprometidos (los datos sensibles elevan el riesgo), el número de personas afectadas y la probabilidad de un daño real, como fraude, suplantación, discriminación o extorsión.

La comunicación a los titulares debe hacerse en lenguaje claro, comprensible y accesible, de modo que puedan tomar medidas para protegerse.

Qué debe contener la notificación

Aunque el detalle se afinará con la reglamentación de la Agencia, una notificación completa debería incluir al menos:

  • La naturaleza del incidente y cuándo ocurrió o se detectó.
  • Las categorías y el volumen aproximado de datos y de titulares afectados.
  • Las posibles consecuencias de la vulneración.
  • Las medidas adoptadas o propuestas para contener el incidente y mitigar sus efectos.
  • Un punto de contacto para obtener más información, habitualmente el delegado de protección de datos.

Si al inicio no cuentas con toda la información, se puede notificar por etapas: primero lo conocido y luego los detalles, a medida que avanza la investigación.

Qué hacer en las primeras 72 horas

Cuando se detecta un incidente, la reacción de las primeras horas define el resultado. Un flujo ordenado ayuda a no improvisar:

  1. Contener. Aísla los sistemas afectados y detén la propagación del incidente.
  2. Activar el equipo. Convoca a los roles definidos: TI, seguridad, legal y el delegado de protección de datos.
  3. Evaluar el alcance. Determina qué datos, cuántos titulares y qué sistemas están comprometidos.
  4. Valorar el riesgo. Define si existe riesgo alto que obligue a notificar también a los titulares.
  5. Documentar. Registra la cronología, las decisiones y la evidencia desde el minuto cero.
  6. Notificar a la Agencia. Prepara y envía el reporte sin dilación indebida, dentro del plazo de referencia.
  7. Comunicar a los titulares cuando corresponda, con instrucciones claras de autoprotección.
  8. Remediar y aprender. Cierra las vulnerabilidades y actualiza tus controles para evitar la repetición.

Cómo prepararse antes de que ocurra

Cumplir el plazo es casi imposible si la preparación empieza el día del incidente. La clave es tener todo listo de antemano.

Detección y monitoreo

No puedes notificar lo que no detectas. Implementa registros de acceso (logs), alertas y monitoreo que permitan identificar rápidamente actividad anómala. Mientras antes detectes, más margen tendrás dentro de las 72 horas.

Cifrado y respaldos

El cifrado de los datos en reposo y en tránsito reduce el impacto de una filtración y puede disminuir el riesgo para los titulares. Los respaldos probados y aislados son tu defensa frente a ransomware y pérdidas de información.

Roles y responsabilidades

Define por escrito quién hace qué ante un incidente. Un plan de respuesta con roles claros —incluido un delegado de protección de datos— evita la parálisis y las decisiones improvisadas bajo presión.

Todo esto forma parte de una preparación más amplia; puedes ordenarla con nuestro checklist para la Ley 21.719.

Preguntas frecuentes

¿El plazo de 72 horas corre desde el ataque o desde que lo detecto?

Desde que la organización toma conocimiento de la vulneración. Por eso invertir en detección y monitoreo es tan importante: un incidente que pasa semanas sin ser advertido consume por completo el margen de reacción.

¿Siempre debo avisar a los titulares afectados?

No siempre. La comunicación a los titulares se exige cuando la brecha implica un riesgo alto para sus derechos. La notificación a la Agencia, en cambio, procede ante la vulneración de seguridad, sin dilación indebida.

¿Qué pasa si no reúno toda la información en 72 horas?

Puedes notificar por etapas: informar primero lo que se conoce y completar los antecedentes después. Lo que no conviene es guardar silencio a la espera de tener el panorama completo, porque la demora injustificada agrava la situación.

¿Tu empresa sabría notificar una brecha a tiempo? En basedatos.cl diseñamos tu plan de respuesta a incidentes y preparamos a tus equipos legal y de TI para cumplir la Ley 21.719. Conversemos en /contacto.

Este contenido es informativo y no constituye asesoría legal para un caso particular.

Escríbenos