Cómo comunicar una filtración de datos a los titulares afectados
Cuando ocurre un incidente de datos personales, la organización enfrenta dos obligaciones paralelas: notificar a la Agencia de Protección de Datos Personales y comunicar a los titulares afectados. La notificación a la Agencia tiene plazo y condiciones definidas en la Ley N° 21.719. La comunicación a los titulares es menos prescrita en detalles, pero igualmente obligatoria —y frecuentemente subestimada.
Esta guía trata específicamente la comunicación a los titulares: cuándo se exige, qué debe contener, cómo debe realizarse y cuáles son los errores que agravan la crisis en lugar de controlarla.
La obligación legal: Art. 14 sexies de la Ley N° 21.719
El Art. 14 sexies de la Ley N° 21.719 establece la obligación de notificar las vulneraciones de seguridad que puedan afectar significativamente los derechos de los titulares. La norma exige comunicación tanto a la Agencia de Protección de Datos Personales como a los titulares afectados cuando el incidente genere riesgo relevante para sus derechos y libertades.
Dos elementos son centrales en esta disposición:
1. "Vulneración que pueda afectar significativamente los derechos de los titulares"
La comunicación no es obligatoria ante todo incidente de seguridad —solo ante aquellos que representen riesgo significativo para los titulares. Esto exige una evaluación de impacto que considere:
- La naturaleza de los datos afectados (los datos sensibles elevan el riesgo automáticamente)
- El volumen de registros comprometidos
- La probabilidad de uso malicioso de los datos
- El impacto potencial: financiero, discriminatorio, físico, reputacional
2. Doble destinatario: Agencia y titulares
La ley exige que tanto la autoridad como los titulares sean comunicados. En la práctica, estos procesos tienen características distintas y pueden ocurrir en momentos diferentes.
Lo que la Agencia puede ordenar
La Ley N° 21.719 otorga a la Agencia de Protección de Datos Personales facultades para ordenar medidas correctivas ante un incidente, incluida la divulgación amplia del hecho cuando la gravedad lo justifique. Esto significa que, aunque el responsable estime que la comunicación directa a los titulares no es necesaria, la Agencia puede discrepar y exigir la divulgación.
¿Cuándo comunicar a los titulares?
Comunicación obligatoria — criterios
La comunicación a los titulares es obligatoria cuando el incidente pueda generar:
- Riesgo financiero: datos bancarios, tarjetas, RUT + datos de ingresos que permitan fraude o suplantación de identidad
- Riesgo discriminatorio: datos de salud, orientación sexual, religión, origen étnico, afiliación política
- Riesgo físico o a la seguridad: datos de ubicación, datos de menores, datos que permitan identificar vulnerabilidades personales
- Riesgo reputacional significativo: exposición de historial judicial, datos de empleo, datos médicos
- Cualquier dato sensible conforme a la Ley N° 21.719 expuesto a acceso no autorizado
Comunicación no obligatoria — pero recomendable
Incluso cuando el incidente no alcance el umbral de "riesgo significativo", la comunicación proactiva puede ser estratégicamente recomendable:
- Demuestra transparencia y construye confianza
- Reduce el riesgo de demandas judiciales por omisión
- Alinea a la organización con la expectativa creciente de titulares y reguladores
El momento: cuándo comunicar
La Ley N° 21.719 establece que la notificación a la Agencia debe realizarse sin demora indebida, y preferentemente dentro de las 72 horas siguientes al conocimiento del incidente. Para los titulares, la ley exige comunicación sin demora injustificada cuando exista riesgo elevado para sus derechos y libertades —sin fijar un plazo exacto en horas.
Para los titulares, la práctica converge en el siguiente principio: comunicar tan pronto como sea razonablemente posible, considerando que:
- La organización necesita un tiempo mínimo para comprender el incidente antes de comunicarlo — comunicar hechos incompletos o incorrectos es peor que esperar 24-48 horas adicionales para tener información precisa
- El titular necesita ser informado a tiempo de tomar acciones protectoras (cancelar tarjeta, cambiar contraseña, monitorear movimientos) — cuanto más tiempo pasa, menos efectivas resultan esas acciones
Referencia práctica: comunicar a los titulares dentro de 72 horas a 7 días desde la confirmación del incidente es el estándar que equilibra precisión y urgencia. El RGPD europeo aplica el mismo criterio: la notificación a los titulares afectados (Art. 34) debe ocurrir "sin demora indebida" —sin plazo fijo en horas—, lo que refuerza la evaluación caso a caso.
Qué debe contener la comunicación
Contenido mínimo
| Elemento | Qué incluir |
|---|---|
| Naturaleza de los datos | Qué categorías de datos resultaron afectadas (ej.: "correo, nombre y contraseña cifrada") |
| Información sobre los titulares | Estimación del universo de personas afectadas (ej.: "aproximadamente 12.000 clientes registrados entre 2020 y 2024") |
| Medidas técnicas y de seguridad | Qué hizo la organización para proteger los datos y qué está haciendo para contener el incidente |
| Riesgos relacionados | Cuáles son los riesgos concretos para el titular (¿fraude? ¿spam? ¿suplantación de identidad?) |
| Motivos del atraso (si aplica) | Si la comunicación se demoró más de lo razonable, explicar por qué |
| Medidas adoptadas o por adoptar | Acciones correctivas: qué hizo ya la empresa y qué hará para revertir o mitigar los daños |
Contenido complementario recomendado
Además del mínimo legal, las comunicaciones eficaces incluyen:
- Acciones recomendadas al titular: qué debe hacer ahora (cambiar contraseña, monitorear su cuenta, presentar una denuncia en el SERNAC o la Agencia)
- Canal de atención dedicado: teléfono, correo o formulario específico para consultas relacionadas con el incidente
- Plazo de seguimiento: hasta cuándo la organización mantendrá activo el canal dedicado
- Enlace a más información: página web con preguntas frecuentes y actualizaciones sobre el incidente
Cómo comunicar: los canales
Correo electrónico directo al titular
El canal más común y directo. Requisitos:
- Enviar desde la dirección oficial de la empresa (no desde dominio de tercero)
- Asunto claro: "Aviso importante sobre sus datos personales" — evitar términos vagos
- Remitente identificado: nombre + cargo del responsable de la comunicación (ej.: "María González, Delegada de Protección de Datos")
- No incluir enlaces que soliciten clic para "verificar cuenta" — los cibercriminosos frecuentemente aprovechan incidentes reales para enviar phishing paralelo
Correspondencia postal
Para titulares sin correo electrónico registrado, o cuando el incidente involucró el propio banco de correos. Más costoso, pero necesario cuando es el único canal disponible.
SMS/WhatsApp
Adecuado para comunicaciones urgentes donde el titular necesita actuar de inmediato (ej.: cancelar tarjeta). Debe complementarse con comunicación más detallada por correo o carta.
Aviso en el sitio web y en la aplicación
Complementario —no reemplaza la comunicación individual a los titulares afectados. Sirve para comunicación de amplio alcance cuando no se tiene los datos de contacto de todos los afectados, o cuando la Agencia determina "amplia divulgación".
Medios de comunicación (cuando lo ordene la Agencia)
En casos de gran escala, la Agencia puede ordenar divulgación por medios de comunicación masivos. La organización debe tener preparado un comunicado de prensa como parte del plan de respuesta al incidente.
Qué NO hacer en la comunicación
Errores que agravan la crisis
❌ Minimizar el incidente — "solo algunos datos de menor relevancia quedaron expuestos" cuando en realidad hubo exposición de datos sensibles. La verdad emerge eventualmente y la falta de transparencia inicial es tratada como agravante.
❌ Usar lenguaje técnico oscuro — comunicados que requieren un abogado para ser comprendidos no sirven al titular, que necesita entender cuál es el riesgo y qué debe hacer.
❌ Prometer investigaciones sin plazo — "estamos investigando y comunicaremos cuando tengamos más información" sin fecha concreta genera ansiedad y desconfianza. Comprometerse con una actualización en plazo específico es más eficaz.
❌ Enviar comunicación que parezca phishing — enlaces de clic, dominios desconocidos en el remitente, solicitudes de inicio de sesión para "verificar los datos afectados". El momento de un incidente real es aprovechado por cibercriminales para phishing paralelo, y la comunicación de la empresa debe ser inconfundible.
❌ No incluir canal de contacto — el titular que recibe la comunicación y no sabe a quién llamar para aclarar dudas es un titular que acudirá al SERNAC, a la Agencia o a la prensa.
❌ Comunicar antes de tener información básica confirmada — la comunicación prematura con datos imprecisos obliga a nuevas comunicaciones de corrección, multiplicando la exposición.
Modelo de estructura para la comunicación
[ASUNTO]: Aviso importante sobre sus datos personales — [Nombre de la Empresa]
Estimado/a [Nombre del titular o "Cliente"],
Le comunicamos que hemos identificado un incidente de seguridad ocurrido el [fecha],
que puede haber resultado en el acceso no autorizado a algunos de sus datos personales.
QUÉ OCURRIÓ
[2-3 oraciones explicando el incidente de forma clara y objetiva]
QUÉ DATOS RESULTARON AFECTADOS
[Nombre, correo, RUT — listar las categorías específicas]
QUÉ HICIMOS
[Medidas de contención adoptadas: desactivamos el acceso, bloqueamos el vector de entrada,
estamos realizando investigación forense con [empresa especializada], notificamos a la
Agencia de Protección de Datos Personales el [fecha].]
QUÉ DEBE HACER USTED
• [Acción específica 1 — ej.: cambie su contraseña en nuestro sitio web]
• [Acción específica 2 — ej.: esté atento a correos sospechosos en su nombre]
• [Acción específica 3 — si aplica]
CONSULTAS Y CONTACTO
Nuestro equipo está disponible para resolver cualquier duda:
Correo: privacidad@empresa.cl
Teléfono: [número] — disponible [días y horarios]
Lamentamos lo ocurrido y reafirmamos nuestro compromiso con la
protección de sus datos.
[Nombre y cargo del responsable]
[Empresa]
[Fecha]
Comunicación cuando hay menores de edad afectados
Cuando los datos afectados incluyen datos de niños, niñas o adolescentes, la comunicación debe dirigirse a los responsables legales (padres o tutores), no al menor. El lenguaje y las orientaciones deben adaptarse para que los responsables comprendan el riesgo específico para el niño o la niña.
Lista de verificación de la comunicación a los titulares
- ¿El incidente fue evaluado como de "riesgo significativo" para los titulares?
- ¿Se identificó el universo de afectados con razonable precisión?
- ¿La comunicación contiene todos los elementos mínimos?
- ¿El lenguaje es comprensible para el titular promedio (sin tecnicismos jurídicos)?
- ¿La comunicación orienta al titular sobre qué debe hacer?
- ¿Hay canal de contacto dedicado mencionado en la comunicación?
- ¿El remitente/identidad de la empresa es inconfundible (no parece phishing)?
- ¿La comunicación fue alineada con el área jurídica y el Delegado de Protección de Datos antes del envío?
- ¿La comunicación fue almacenada como evidencia de conformidad (con fecha y hora de envío)?
- ¿Se notificó a la Agencia de Protección de Datos Personales dentro del plazo de 72 horas preferente?
Conclusión
La comunicación a los titulares afectados por un incidente de datos es al mismo tiempo una obligación legal, un imperativo ético y un elemento crítico de gestión de crisis. Las organizaciones que comunican con claridad, transparencia y orientaciones concretas controlan mejor la narrativa, reducen demandas judiciales y demuestran a la Agencia que toman en serio sus obligaciones.
El peor escenario no es haber sufrido un incidente —es haberlo sufrido y haber respondido mal: notificación tardía, comunicación oscura, ausencia de canal de atención y postura defensiva. Esos comportamientos son evaluados por la Agencia de Protección de Datos Personales como agravantes en el proceso sancionatorio, y por los titulares como justificación para buscar reparación judicial.
Confidata incluye en su módulo de incidentes modelos de comunicación parametrizados, control de envíos con fecha y hora, y registro de auditoría completo para demostrar a la Agencia que las obligaciones del Art. 14 sexies de la Ley N° 21.719 fueron cumplidas.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.