Gestión de crisis de privacidad: protocolo para C-levels y comité ejecutivo
Un ataque de ransomware paraliza los servidores de la empresa a las 23:00 de un viernes. Datos de 400.000 clientes están potencialmente comprometidos. El CEO recibe el llamado del CTO a las 23:15 y necesita, en minutos, tomar decisiones que afectarán a la empresa en los próximos meses — ¿comunicar o no a la APDP? ¿Cuándo avisar a los clientes? ¿Qué decirle a la prensa?
Sin un protocolo previamente establecido, estas decisiones se toman bajo presión máxima, con información incompleta y sin claridad sobre quién tiene autoridad para qué. El resultado suele ser peor que la crisis en sí.
Este artículo trata específicamente del protocolo de gestión de crisis para la alta dirección — lo que el C-level y el comité ejecutivo necesitan saber y decidir cuando una crisis de privacidad se instala.
Crisis de privacidad vs. incidente de privacidad: la distinción importa
No todo incidente de privacidad es una crisis. El programa de privacidad debe tener respuesta operacional para incidentes cotidianos (un correo enviado al destinatario equivocado, un acceso indebido detectado y bloqueado rápidamente). Estos son incidentes — graves, pero manejables por el equipo técnico y el DPD sin involucramiento del C-level.
Una crisis de privacidad tiene características distintas:
- Escala: datos de gran volumen de titulares comprometidos (cientos o miles)
- Sensibilidad: datos sensibles (salud, financieros, biométricos, de menores) involucrados
- Exposición regulatoria: probabilidad alta de notificación obligatoria a la APDP y a los titulares
- Impacto reputacional: riesgo real de cobertura mediática negativa o repercusión pública
- Impacto operacional: compromiso de sistemas críticos con paralización de operaciones
- Impacto financiero: potencial de multas, indemnizaciones y pérdida de contratos significativa
Cuando un incidente tiene una o más de estas características, deja de ser operacional y pasa a exigir involucramiento y liderazgo de la alta dirección.
Por qué el C-level necesita protocolo propio
El equipo de TI y el DPD tienen su protocolo técnico de respuesta a incidentes. Pero cuando la crisis escala al nivel ejecutivo, surgen decisiones que van más allá de la competencia técnica:
- ¿Comunicar o no antes de tener certeza? La Ley 21.719 exige notificación a la APDP en plazo corto, pero comunicaciones prematuras o incorrectas pueden agravar el daño reputacional
- ¿Cuánto revelar al mercado? Las empresas inscritas en la CMF (Comisión para el Mercado Financiero) tienen obligaciones adicionales más allá de las obligaciones con la APDP
- ¿Quién habla con la prensa? La definición del vocero es una decisión estratégica
- ¿Continúa operando o paraliza? En casos de compromiso severo, la decisión de paralizar sistemas afecta ingresos inmediatos
- ¿Cuándo activar el seguro cibernético? Involucra a jurídico y finanzas, no solo a TI
- ¿Responsabilizar o no al proveedor públicamente? Decisión con impacto en contratos activos
Estas decisiones requieren autoridad, visión estratégica y conocimiento del negocio que solo el C-level tiene. El protocolo de crisis debe estar estructurado para que estas decisiones se tomen rápidamente, con base en información confiable y dentro de una estructura de gobernanza clara.
Estructura del comité ejecutivo de crisis
El primer elemento del protocolo es la definición anticipada del Comité Ejecutivo de Crisis de Privacidad — quiénes son sus miembros, cuáles son sus roles y quién tiene autoridad final para cada tipo de decisión.
Composición recomendada
| Rol | Responsabilidad en la crisis |
|---|---|
| CEO | Autoridad máxima; decisiones estratégicas; comunicación con el directorio |
| CFO | Impacto financiero; activación del seguro; provisiones |
| CTO / CISO | Situación técnica; contención; recuperación; evidencias forenses |
| DPD | Obligaciones regulatorias; notificación a la APDP; derechos de titulares |
| Jurídico | Responsabilidad legal; comunicaciones con autoridades; contratos |
| Comunicaciones / RP | Mensajes externos; gestión de prensa; comunicación con titulares |
| RRHH (si aplica) | Datos de colaboradores; cuestiones laborales |
Suplencia y activación
El protocolo debe definir:
- Quién activa el comité (DPD, CISO o cualquier miembro de la alta dirección)
- Criterios objetivos de activación (ej.: cualquier incidente con >100 titulares potencialmente afectados, o cualquier incidente que involucre datos sensibles)
- Canal de comunicación interna del comité (grupo seguro, no correo corporativo — que puede estar comprometido)
- Orden de activación y suplencia (el CEO puede estar de viaje internacional)
Las primeras 4 horas: decisiones críticas
Las primeras horas de una crisis de privacidad son las más críticas para contener el daño y para cumplir con las obligaciones legales. El protocolo debe definir una secuencia clara de acciones.
Hora 1: Verificar y activar
- Confirmar la naturaleza del evento: ¿es realmente una crisis (según los criterios definidos) o un incidente operacional?
- Activar el comité ejecutivo con la información disponible — aunque sea incompleta
- Aislar sistemas comprometidos (decisión técnica, pero que puede requerir autorización ejecutiva si afecta operaciones críticas)
- Preservar evidencias: instrucción explícita para no borrar logs, no apagar servidores comprometidos sin orientación forense
Horas 1–2: Evaluar y contener
- Reunión del comité (presencial o remota) para alinear la situación
- Evaluar escala preliminar: ¿cuántos titulares afectados? ¿Qué tipos de datos? ¿Cuál es la causa probable?
- Decidir sobre continuidad operacional: ¿los sistemas críticos pueden continuar? ¿Hay riesgo de agravamiento?
- Activar expertos externos: forense digital, comunicación de crisis, jurídico especializado (si no se cuenta con ellos internamente)
- Prohibición de comunicación no autorizada: ningún colaborador debe comentar el incidente externamente; solo el vocero designado
Horas 2–4: Comunicación interna y preparación para notificación
- Comunicar al directorio / consejo de administración (si es distinto del comité ejecutivo)
- Evaluar la obligación de notificación: a la APDP, a los titulares, a la CMF (si la empresa está inscrita), a socios contractuales con cláusula de notificación
- Preparar borrador inicial de la comunicación a la APDP (aunque incompleto — será completado en las próximas horas/días)
- Definir vocero y línea de comunicación para eventuales preguntas externas
Obligaciones legales y plazos: lo que el C-level debe saber
Notificación a la APDP
El artículo 14 sexies de la Ley 21.719 establece que las vulneraciones a las medidas de seguridad que generen riesgo para los derechos de los titulares deben comunicarse a la APDP "sin dilaciones indebidas" desde el conocimiento del incidente. La ley no establece un plazo de horas explícito, pero el estándar internacional de referencia — adoptado por el GDPR europeo y por las principales autoridades de protección de datos — es de 72 horas. Es altamente probable que la APDP adopte un estándar similar en su normativa complementaria.
Si no se dispone de toda la información al momento de la comunicación, se debe enviar una notificación preliminar y complementarla posteriormente con un informe completo.
El conocimiento del incidente se fecha a partir del momento en que el responsable tomó conciencia de forma suficientemente clara — no necesariamente cuando fue descubierto por TI, sino cuando la organización (incluyendo la alta dirección) fue informada de forma organizada.
Atención práctica para el C-level: el deber de comunicar comienza a correr independientemente de que la investigación esté completa. Adoptar un protocolo interno con plazo máximo de 72 horas es la mejor práctica para demostrar que no hubo dilación indebida.
Comunicación a los titulares
La Ley 21.719 exige que los titulares afectados sean comunicados cuando el incidente involucre datos sensibles, datos de menores de 14 años, o datos económicos, financieros o bancarios. La forma, el canal y el contenido de la comunicación son decisiones estratégicas que involucran tanto el aspecto legal como el reputacional — y por eso deben ser definidos por el comité ejecutivo, no solo por el DPD.
Obligaciones contractuales con socios
Muchos contratos B2B incluyen cláusulas de notificación de incidentes de seguridad con plazos propios (frecuentemente 24–72 horas). El comité debe identificar inmediatamente qué contratos activos tienen esta obligación.
Comunicación en situación de crisis: principios para el C-level
La comunicación durante una crisis de privacidad es una de las decisiones más consecuentes y, paradójicamente, más descuidadas en los protocolos corporativos.
Principios que el comité debe adoptar:
1. Transparencia proporcional a lo que se sabe No comunicar especulaciones o información no confirmada. Pero tampoco silencio mientras la crisis se desarrolla — el silencio es interpretado como ocultamiento.
2. Una sola voz pública Definir un único vocero (generalmente CEO o CCO) y asegurarse de que todos los demás miembros del comité redirijan preguntas hacia esa persona.
3. Comunicar antes de que la noticia se filtre Si hay riesgo real de cobertura mediática, es mejor comunicar proactivamente que ser sorprendido por un reportaje. Las crisis gestionadas proactivamente tienen desenlaces reputacionales significativamente mejores.
4. Separar mensajes para distintas audiencias El mensaje para los titulares afectados, para la prensa, para los socios de negocio y para los colaboradores internos tiene contenido diferente — pero debe ser consistente en hechos y tono.
5. Documentar todas las comunicaciones Cada comunicación realizada durante la crisis debe quedar registrada (qué, para quién, cuándo, por quién). Esta documentación es fundamental para demostrar a la APDP que la organización actuó de buena fe.
El rol del DPD en la crisis: apoyo al comité, no responsable único
Un error frecuente es poner al DPD como único responsable de la gestión de la crisis. El DPD tiene un rol crítico — pero es de apoyo especializado al comité, no de liderazgo ejecutivo.
El DPD es responsable de:
- Evaluar las obligaciones legales y los plazos de notificación
- Redactar las comunicaciones a la APDP y orientar las comunicaciones a los titulares
- Orientar al comité sobre los derechos de los titulares que deben ser atendidos
- Asegurar que las evidencias estén preservadas para el informe complementario
- Acompañar las investigaciones y alimentar al comité con actualizaciones jurídico-regulatorias
El DPD no es responsable de decisiones operacionales (contención técnica), comunicación con la prensa, decisiones de continuidad del negocio o activación del seguro.
Tabletop exercises: preparar al comité antes de la crisis
El protocolo escrito no es suficiente. Las decisiones de crisis se toman bajo presión — y la presión paraliza a quien no se ha entrenado. Los tabletop exercises (ejercicios de mesa) son simulaciones conducidas con el comité ejecutivo para practicar las decisiones antes de que sean reales.
Cómo funciona
El facilitador (DPD, consultora especializada o empresa de ciberseguridad) presenta un escenario hipotético — un ransomware, una filtración de datos de colaboradores por un proveedor, una exposición de datos de salud en un sistema legado. El comité toma las decisiones que tomaría en una situación real, en tiempo comprimido.
Lo que el ejercicio revela
- Brechas en el protocolo (decisiones que nadie sabe quién debe tomar)
- Información que el comité necesitaría pero no tiene (ej.: el inventario de datos no existe, el contrato con el proveedor no tiene cláusula de notificación)
- Cuellos de botella de comunicación (miembros que no saben cómo contactarse en una emergencia)
- Vacíos legales (el DPD no conocía el deber de notificación sin dilaciones indebidas del Art. 14 sexies)
Frecuencia recomendada
La realización de tabletop exercises anuales es el mínimo para organizaciones con volumen significativo de datos personales. Después de un incidente real, un ejercicio de revisión del protocolo debe realizarse independientemente del ciclo anual.
Documentación del protocolo: qué debe estar escrito
El protocolo de crisis debe ser un documento formal, aprobado por el directorio o el comité ejecutivo, y accesible rápidamente en el momento de la crisis. Debe incluir:
- Criterios de activación del comité ejecutivo de crisis
- Miembros del comité, suplentes y contactos de emergencia
- Secuencia de acciones en las primeras 4 horas
- Plazos legales obligatorios (APDP: sin dilaciones indebidas — referencia práctica 72h; socios contractuales; CMF si aplica)
- Template de comunicación inicial a la APDP
- Template de comunicación a titulares
- Lista de proveedores/especialistas externos a activar (forense, comunicación de crisis, jurídico)
- Criterios para activación del seguro cibernético
- Procedimiento de registro/documentación durante la crisis
Conclusión: la crisis para la que no se preparó es la que lo destruirá
Las crisis de privacidad no son improbables — son inevitables para las organizaciones que tratan datos a escala. La diferencia entre una crisis que hunde y una crisis que fortalece la reputación está en la preparación previa del C-level: protocolos probados, comité entrenado y decisiones que fueron pensadas antes de la presión.
Para el directorio y la alta dirección, preparar el protocolo de crisis de privacidad no es burocracia de compliance — es gestión de riesgo estratégico. Y como todo riesgo estratégico, necesita atención en el momento correcto: antes del evento, no durante.
Confidata centraliza toda la documentación necesaria para una respuesta rápida ante cualquier crisis: DPD registrado, canal del titular monitorizado, RAT actualizado, EIPDs elaboradas y reportes de cumplimiento listos para presentar a la APDP.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.