Notificación de Brechas de Datos Personales: Protocolo de 72 Horas
¿Qué es una brecha de datos personales bajo la Ley 21.719?
Una brecha de datos personales — también llamada vulneración de seguridad — es cualquier incidente que provoque la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales que están siendo tratados por una organización. No importa si fue un ciberataque sofisticado, un empleado que envió un archivo al destinatario equivocado, o un disco duro sin cifrar que se extravió: si datos personales quedaron expuestos o comprometidos, estamos ante una brecha.
La Ley 21.719 aborda esta materia en el artículo 14 quinquies, estableciendo un protocolo estricto de notificación de brechas de datos que toda organización en Chile debe conocer y tener preparado antes de que ocurra un incidente. No se trata de improvisar cuando el desastre ya golpeó la puerta: se trata de tener un plan probado y equipos entrenados.
Tipos de brechas que activan la obligación de notificación
No toda incidencia técnica constituye una brecha notificable. La Ley 21.719 exige notificación cuando la vulneración afecte datos personales y represente un riesgo para los derechos y libertades de los titulares. En la práctica, los escenarios más comunes incluyen:
- Brecha de confidencialidad: Acceso no autorizado a bases de datos con información personal (hackeo, robo de credenciales, empleado desleal).
- Brecha de integridad: Alteración no autorizada de datos personales (manipulación de registros médicos, modificación fraudulenta de datos financieros).
- Brecha de disponibilidad: Pérdida de acceso a datos personales (ransomware que cifra bases de datos, destrucción accidental sin respaldos, falla de infraestructura sin plan de recuperación).
> ⚠️ Dato clave: Un ataque de ransomware que cifra tu base de clientes es una brecha de datos, incluso si los atacantes no exfiltraron la información. La mera pérdida de disponibilidad de datos personales ya activa la obligación de evaluar y, en la mayoría de los casos, notificar.
---
El plazo de 72 horas: qué dice el artículo 14 quinquies
El corazón del régimen de notificación de brechas en Chile es el plazo de 72 horas. Según el artículo 14 quinquies de la Ley 21.719, el responsable del tratamiento tiene un máximo de 72 horas desde que toma conocimiento de la brecha para notificar a la Agencia de Protección de Datos Personales.
Este plazo es implacable. No se cuenta en días hábiles — son 72 horas corridas, incluyendo fines de semana y festivos. Si detectas una brecha un viernes a las 18:00, tu plazo vence el lunes a las 18:00, no el miércoles siguiente.
¿Cuándo se entiende que "tomé conocimiento"?
El reloj de las 72 horas comienza a correr desde el momento en que la organización tiene certeza razonable de que se ha producido una vulneración que afecta datos personales. Esto no significa que debas tener un análisis forense completo — basta con que exista información suficiente para concluir que probablemente se produjo una brecha.
Ejemplos de cuándo se activa el plazo:
| Escenario | ¿Se activa el plazo? |
|---|---|
| Un sistema de monitoreo detecta exfiltración de datos a las 03:00 AM | ✅ Sí — desde que el equipo de seguridad revisa la alerta y confirma el incidente |
| Un empleado reporta que perdió un laptop corporativo con datos de clientes | ✅ Sí — desde el momento del reporte |
| Un proveedor (encargado del tratamiento) informa que sufrió un ciberataque que afectó datos de tu empresa | ✅ Sí — desde que recibes la notificación del proveedor |
| Recibes un aviso genérico de un scanner de vulnerabilidades | ❌ No — una vulnerabilidad no es lo mismo que una brecha confirmada |
¿Y si no tengo toda la información en 72 horas?
La ley contempla esta realidad. La notificación inicial puede hacerse con la información disponible en el momento, y luego complementarse con información adicional a medida que avanza la investigación. Lo que no puedes hacer es postergar la notificación hasta tener un informe forense completo. La Agencia prefiere una notificación oportuna e incompleta a una notificación tardía y detallada.
---
¿A quién debo notificar?
La Ley 21.719 establece un esquema de doble notificación según la gravedad del incidente:
1. Notificación a la Agencia de Protección de Datos Personales (obligatoria)
Siempre que se produzca una brecha que afecte datos personales y suponga un riesgo para los titulares, debes notificar a la Agencia de Protección de Datos Personales. Esta es la autoridad fiscalizadora creada por la Ley 21.719, y será el organismo que evalúe si tu respuesta al incidente fue adecuada.La notificación debe realizarse dentro de las 72 horas y por los medios que la Agencia establezca (formulario electrónico, plataforma web u otros canales oficiales que se definan en la reglamentación).
2. Notificación a los titulares afectados (cuando hay alto riesgo)
Cuando la brecha suponga un alto riesgo para los derechos y libertades de los titulares afectados, la organización también debe notificar directamente a las personas cuyos datos fueron comprometidos. Esta notificación debe hacerse sin dilación indebida — es decir, lo antes posible.
¿Cuándo se considera "alto riesgo"? Algunos indicadores:
- Se comprometieron datos sensibles (salud, biométricos, vida sexual, opiniones políticas).
- Se expusieron datos financieros que permiten fraude o suplantación de identidad.
- El volumen de titulares afectados es significativo.
- Los datos expuestos no estaban cifrados ni protegidos por medidas que los hicieran ininteligibles.
- Existe riesgo concreto de daño material o inmaterial para los titulares (discriminación, pérdida financiera, daño reputacional).
> 💡 Consejo práctico: Si tus datos estaban cifrados con un algoritmo robusto y la clave de cifrado no fue comprometida, la notificación a los titulares podría no ser necesaria, ya que los datos resultan ininteligibles para el atacante. Sin embargo, la notificación a la Agencia sigue siendo obligatoria.
---
¿Qué información debe incluir la notificación?
La notificación a la Agencia de Protección de Datos Personales debe ser lo más completa posible. El artículo 14 quinquies de la Ley 21.719 exige que incluya, como mínimo:
Contenido obligatorio de la notificación a la Agencia
| Elemento | Detalle |
|---|---|
| Naturaleza de la brecha | Descripción del incidente: tipo de vulneración (confidencialidad, integridad, disponibilidad), vector de ataque, sistemas afectados |
| Categorías de datos afectados | Tipos de datos comprometidos (identificación, financieros, salud, biométricos, etc.) |
| Categorías de titulares afectados | Perfil de las personas afectadas (clientes, empleados, proveedores, menores de edad) |
| Número estimado de titulares | Cantidad aproximada de personas cuyos datos fueron comprometidos |
| Consecuencias probables | Evaluación de los potenciales daños para los titulares (fraude, suplantación, discriminación) |
| Medidas adoptadas | Acciones de contención y remediación ya implementadas o en proceso |
| Medidas propuestas | Plan de acciones futuras para mitigar los efectos de la brecha |
| Datos de contacto | Nombre y datos del DPO o punto de contacto para que la Agencia pueda solicitar información adicional |
Contenido de la notificación a los titulares
Cuando corresponda notificar a los titulares, la comunicación debe ser clara, directa y sin tecnicismos innecesarios. Debe incluir:
- Una descripción comprensible de lo que ocurrió.
- Qué datos personales suyos fueron comprometidos.
- Qué puede hacer el titular para protegerse (cambiar contraseñas, monitorear cuentas bancarias, activar alertas de fraude).
- Datos de contacto del DPO o responsable para consultas.
- Medidas que la organización está tomando para remediar la situación.
---
Protocolo interno de respuesta a brechas: 7 pasos esenciales
Tener un protocolo de respuesta a brechas documentado, aprobado y ensayado antes de que ocurra un incidente es una obligación implícita del principio de responsabilidad (Art. 7° de la Ley 21.719) y un componente esencial del modelo de prevención de infracciones (Art. 49). Aquí te presentamos los 7 pasos que toda organización chilena debería seguir:
Paso 1: Detección e identificación (Hora 0)
Establece mecanismos de monitoreo continuo que permitan detectar incidentes de seguridad de forma temprana: sistemas SIEM, alertas de acceso anómalo, monitoreo de endpoints, auditorías de logs. Cuando se detecta un posible incidente, el equipo de seguridad (o la persona designada) debe evaluar rápidamente si constituye una brecha de datos personales.
Acción clave: Registrar la hora exacta de detección — este es el momento 0 del plazo de 72 horas.Paso 2: Contención inmediata (Horas 0-4)
El objetivo inmediato es limitar el daño. Dependiendo del tipo de brecha:
- Ransomware: Aislar los sistemas afectados de la red, evitar la propagación.
- Acceso no autorizado: Revocar credenciales comprometidas, bloquear cuentas.
- Filtración por correo: Solicitar la eliminación al destinatario, activar medidas de DLP.
- Pérdida física: Activar borrado remoto de dispositivos, cambiar credenciales almacenadas.
Paso 3: Evaluación de riesgo y alcance (Horas 4-24)
Determina con la mayor precisión posible:
- Qué datos personales fueron afectados y de qué categoría.
- Cuántos titulares están potencialmente comprometidos.
- Si los datos estaban cifrados o protegidos.
- Cuál es el riesgo real para los titulares (¿pueden sufrir fraude? ¿discriminación? ¿daño reputacional?).
- Si el incidente sigue activo o fue contenido.
Paso 4: Notificación a la Agencia (Antes de la Hora 72)
Prepara y envía la notificación a la Agencia de Protección de Datos Personales con toda la información disponible. No esperes a tener el análisis forense completo — la notificación se puede complementar después.
Paso 5: Notificación a los titulares (sin dilación)
Si la evaluación de riesgo determina que existe un alto riesgo para los derechos de los titulares, notifícalos directamente. Utiliza canales efectivos: correo electrónico, SMS, llamada telefónica, o comunicación pública si no puedes contactarlos individualmente.
Paso 6: Remediación y recuperación
Implementa las medidas correctivas necesarias:
- Parcheo de vulnerabilidades explotadas.
- Restauración de datos desde respaldos.
- Refuerzo de controles de acceso.
- Implementación de medidas adicionales de seguridad.
- Monitoreo intensificado para detectar actividad residual del atacante.
Paso 7: Documentación y lecciones aprendidas
Documenta todo el incidente de principio a fin:
- Cronología detallada del incidente.
- Acciones de contención y remediación tomadas.
- Evidencia de las notificaciones realizadas (a la Agencia y a los titulares).
- Análisis de causa raíz.
- Plan de mejoras para prevenir incidentes similares.
Esta documentación es tu escudo probatorio ante la Agencia. Demuestra que actuaste con diligencia y responsabilidad proactiva.
---
Requisitos de documentación: tu escudo legal
La Ley 21.719 no solo exige notificar: exige probar que notificaste correctamente y que actuaste con diligencia. El principio de responsabilidad (Art. 7°) obliga al responsable del tratamiento a demostrar el cumplimiento de la ley en todo momento.
Registros que debes mantener
- Registro de brechas: Un registro centralizado de todas las vulneraciones de seguridad, incluyendo aquellas que, tras evaluación, se determinó que no requerían notificación (y la justificación de esa decisión).
- Evidencia de notificación: Copia de las comunicaciones enviadas a la Agencia y a los titulares, con marcas de tiempo.
- Registro de acciones de contención: Documentación técnica de las medidas implementadas para contener la brecha.
- Informe post-incidente: Análisis de causa raíz, lecciones aprendidas y plan de mejoras.
- Actas de decisión: Si se decidió no notificar a los titulares por considerarse riesgo bajo, la justificación documentada de esa decisión.
> 💡 Consejo práctico: Mantener toda esta documentación de forma manual en carpetas y planillas es una receta para el caos cuando tienes 72 horas de presión encima. datOK ofrece un módulo de gestión de brechas que te guía paso a paso por el protocolo de notificación, genera las comunicaciones requeridas, y almacena toda la evidencia con trazabilidad completa.
---
Sanciones por no notificar una brecha de datos
El incumplimiento de la obligación de notificación de brechas tiene consecuencias severas bajo la Ley 21.719. No notificar, notificar fuera de plazo o notificar de forma incompleta puede agravar significativamente la situación de una organización:
Clasificación de la infracción
| Conducta | Clasificación | Multa máxima |
|---|---|---|
| No notificar una brecha a la Agencia | Grave | Hasta 5.000 UTM (~$357.530.000 CLP) |
| Notificar fuera del plazo de 72 horas sin justificación | Grave | Hasta 5.000 UTM (~$357.530.000 CLP) |
| No notificar a los titulares cuando existía alto riesgo | Grave | Hasta 5.000 UTM (~$357.530.000 CLP) |
| Ocultar deliberadamente una brecha a la Agencia | Gravísima | Hasta 20.000 UTM (~$1.430.120.000 CLP) |
Valores calculados con UTM de junio 2026: $71.506 CLP.El efecto dominó de no notificar
Más allá de la multa directa, no notificar una brecha genera un efecto cascada devastador:
- Agravamiento de la sanción: La Agencia considera la falta de cooperación como un factor agravante al determinar la multa final.
- Pérdida del beneficio del modelo de prevención: Si tenías un modelo de prevención certificado (Art. 49), la falta de notificación puede invalidar la atenuación de la sanción.
- Daño reputacional multiplicado: Una brecha que se descubre por terceros (prensa, clientes afectados) en lugar de ser comunicada proactivamente por la empresa genera un daño reputacional exponencialmente mayor.
- Responsabilidad civil: Los titulares afectados pueden demandar civilmente por los perjuicios sufridos, y la falta de notificación oportuna fortalece su caso.
---
Medidas de prevención: cómo reducir el riesgo de brechas
La mejor brecha es la que nunca ocurre. La Ley 21.719 exige, a través del principio de seguridad (Art. 8°), que las organizaciones implementen medidas técnicas y organizativas adecuadas para proteger los datos personales. Aquí las medidas esenciales:
Medidas técnicas
- Cifrado de datos en reposo y en tránsito (AES-256, TLS 1.3).
- Autenticación multifactor (MFA) para todos los accesos a sistemas que contengan datos personales.
- Segmentación de red para limitar el movimiento lateral de atacantes.
- Gestión de parches con actualizaciones de seguridad dentro de plazos definidos.
- Respaldos cifrados regulares con pruebas periódicas de restauración.
- Sistemas de detección de intrusiones (IDS/IPS) y monitoreo SIEM.
- Borrado seguro de datos al cumplir el plazo de retención.
Medidas organizativas
- Política de seguridad de la información aprobada por la dirección.
- Capacitación periódica del personal en ciberseguridad e ingeniería social.
- Gestión de accesos basada en el principio de mínimo privilegio.
- Evaluaciones de vulnerabilidad y tests de penetración regulares.
- Contratos con encargados que incluyan obligaciones de seguridad y notificación de brechas.
- Simulacros de respuesta a incidentes al menos una vez al año.
- Evaluaciones de Impacto en Protección de Datos (EIPD) antes de implementar nuevos tratamientos de alto riesgo.
---
Checklist de respuesta a brechas de datos
Cuando el incidente golpea, necesitas una lista de verificación clara. Aquí tienes una checklist operativa para las primeras 72 horas:
✅ Primeras 4 horas
- [ ] Registrar la hora exacta de detección del incidente.
- [ ] Activar al equipo de respuesta a incidentes (DPO, TI, legal, comunicaciones).
- [ ] Implementar medidas de contención inmediatas.
- [ ] Preservar evidencia forense (logs, capturas, imágenes de disco).
✅ Horas 4 a 24
- [ ] Evaluar qué datos personales fueron afectados y de qué categoría.
- [ ] Estimar el número de titulares comprometidos.
- [ ] Determinar si los datos estaban cifrados o protegidos.
- [ ] Evaluar el nivel de riesgo para los titulares.
- [ ] Iniciar la redacción de la notificación a la Agencia.
✅ Horas 24 a 72
- [ ] Enviar la notificación a la Agencia de Protección de Datos Personales.
- [ ] Decidir si se requiere notificación a los titulares (alto riesgo).
- [ ] Si corresponde, enviar notificación a los titulares afectados.
- [ ] Documentar todas las acciones tomadas con marcas de tiempo.
- [ ] Continuar con la remediación y monitoreo intensificado.
✅ Post-incidente (semanas siguientes)
- [ ] Completar el análisis forense.
- [ ] Enviar información complementaria a la Agencia si corresponde.
- [ ] Elaborar informe post-incidente con análisis de causa raíz.
- [ ] Implementar mejoras de seguridad derivadas del incidente.
- [ ] Actualizar el protocolo de respuesta según lecciones aprendidas.
- [ ] Capacitar al equipo sobre las fallas identificadas.
---
Gestiona brechas de datos con datOK
Cuando tienes 72 horas para notificar una brecha, no puedes estar buscando plantillas en Google ni improvisando un plan de respuesta. Necesitas un sistema que te guíe paso a paso, genere la documentación exigida y registre la evidencia de que actuaste correctamente.
datOK incluye un módulo de gestión de brechas diseñado para la realidad chilena y las exigencias de la Ley 21.719:- 🚨 Registro centralizado de incidentes con cronología automatizada.
- 📋 Plantillas de notificación pre-configuradas para la Agencia y para titulares.
- ⏱️ Contador de 72 horas con alertas automáticas para no exceder el plazo.
- 📁 Repositorio de evidencia con trazabilidad completa.
- 📊 Evaluación guiada de riesgo para determinar si debes notificar a los titulares.
- ✅ Checklist interactivo que asegura que no olvides ningún paso del protocolo.
No esperes a que ocurra un incidente para descubrir que no estás preparado.
Prepara tu protocolo de brechas gratis en datok.cl →❓ Preguntas Frecuentes
¿Listo para cumplir la Ley 21.719?
datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.
Crear cuenta gratis