Legislación y Regulación13 min de lectura

Incidente de seguridad y Ley 21.719: cómo notificar a la APDP sin dilaciones indebidas

Equipo Confidata·
Compartir

Ocurre una brecha de datos personales. ¿Qué está obligado a hacer el responsable de datos, cuándo y cómo? Estas preguntas, que antes dependían de interpretación de la legislación vigente, tienen respuesta explícita en la Ley 21.719 — Ley Marco de Datos Personales de Chile, que entra en plena vigencia el 1 de diciembre de 2026 y establece un protocolo concreto de notificación de incidentes de seguridad.

Este guía explica el flujo completo de notificación: desde el momento en que se descubre el incidente hasta el cierre del proceso.

Qué es un incidente de seguridad que obliga a notificar

La Ley 21.719 define los incidentes de notificación obligatoria como aquellos que puedan ocasionar un daño o perjuicio al titular de los datos personales afectados. No toda brecha activa la obligación: se requiere una evaluación de riesgo que determine si el incidente tiene potencial de causar daño real o significativo.

Criterios de evaluación de riesgo

El responsable de datos debe evaluar los siguientes factores para determinar si el incidente alcanza el umbral de notificación:

CriterioQué evaluar
Naturaleza y sensibilidad de los datosDatos sensibles (salud, biometría, origen étnico), datos financieros, datos de menores elevan el riesgo
Número de titulares afectadosCuanto mayor el volumen, mayor el riesgo de daño en escala
Facilidad de identificaciónDatos que permiten identificación directa tienen mayor riesgo que datos anonimizados
Consecuencias probablesPotencial de discriminación, fraude, daño financiero, daño reputacional
Perfil de los titularesGrupos vulnerables (menores, personas mayores, personas en situación de riesgo) elevan el riesgo
Naturaleza del incidenteAcceso no autorizado, divulgación indebida, alteración, destrucción
Medidas de seguridad aplicadasDatos cifrados tienen menor riesgo; datos sin protección, mayor riesgo

Si la evaluación indica que el incidente puede causar daño o perjuicio relevante a los titulares, la notificación es obligatoria.

Lo que no es un incidente de notificación obligatoria

  • Incidente que afectó solo datos que no eran datos personales
  • Incidente cuyo impacto fue completamente contenido antes de cualquier acceso externo
  • Incidente con datos completamente cifrados y sin exposición de la clave
  • Incidente de alcance mínimo con impacto irrelevante para los titulares

Atención: incluso cuando el incidente no alcanza el umbral de notificación obligatoria, debe ser registrado internamente — con la evaluación que llevó a la conclusión de no notificar. Ese registro es la prueba de que hubo análisis, no omisión.

El plazo: "sin dilaciones indebidas" y la referencia de 72 horas

La Ley 21.719 (Art. 14 sexies) establece que la notificación de incidentes de seguridad a la Agencia de Protección de Datos Personales (APDP) debe realizarse "por los medios más expeditos posibles y sin dilaciones indebidas" desde que el responsable de datos toma conocimiento de que el incidente afectó datos personales.

Nota importante: A diferencia del RGPD europeo, que establece explícitamente un plazo de 72 horas (Art. 33 RGPD), la Ley 21.719 utiliza una fórmula abierta: sin dilaciones indebidas. No obstante, 72 horas es la referencia práctica más ampliamente adoptada por la doctrina chilena y por los estándares internacionales. Las organizaciones que notifiquen dentro de ese plazo estarán en una posición sólida para demostrar diligencia. El reglamento que dictará la APDP podrá establecer un plazo específico.

"Desde el conocimiento": el plazo comienza a correr cuando el responsable toma conocimiento de que el incidente involucra datos personales. No basta descubrir que hubo un incidente de seguridad — el plazo se activa cuando se identifica la vinculación con datos personales.

Notificación incompleta: si el responsable no dispone de toda la información necesaria dentro del plazo, debe realizar la notificación preliminar con la información disponible y complementar posteriormente — no debe esperar tener toda la información para notificar.

La notificación preliminar: qué debe contener

La notificación a la APDP debe realizarse a través del canal oficial habilitado por la Agencia (que será implementado en el proceso de instalación de la APDP, previsto para diciembre de 2026). La notificación debe incluir, al menos:

Sobre el responsable de datos:

  • Identificación (RUT, razón social)
  • Datos de contacto del responsable de la comunicación
  • Datos de contacto del Delegado de Protección de Datos (DPD), si existe

Sobre el incidente:

  • Fecha y hora del descubrimiento del incidente
  • Descripción de lo ocurrido (naturaleza del incidente: acceso no autorizado, fuga, destrucción, etc.)
  • Causa probable (si ya fue identificada)
  • Sistemas y ambientes afectados

Sobre los datos y los titulares:

  • Categorías de datos personales afectados (datos comunes, sensibles, de menores, etc.)
  • Volumen estimado de titulares afectados (puede ser estimativo en la notificación preliminar)
  • Perfil de los titulares (clientes, trabajadores, pacientes, etc.)

Sobre las medidas adoptadas:

  • Medidas de contención adoptadas inmediatamente
  • Medidas preventivas implementadas tras el incidente
  • Si hubo comunicación a los titulares y, en caso negativo, los motivos

El informe complementario

Cuando la notificación preliminar es incompleta — lo que es permitido y esperado en incidentes complejos —, el responsable debe complementar las informaciones en un plazo razonable, especificado en el reglamento que dictará la APDP.

El informe complementario debe cubrir los vacíos de la notificación preliminar:

  • Causa raíz del incidente (si fue identificada)
  • Volumen final de titulares afectados
  • Tipos exactos de datos comprometidos
  • Historial detallado del incidente (línea de tiempo)
  • Medidas técnicas y organizacionales adicionales implementadas
  • Resultado del análisis de impacto sobre los titulares

La comunicación a los titulares afectados

Además de la notificación a la APDP, la Ley 21.719 prevé la obligación de comunicar a los propios titulares afectados cuando el incidente pueda causarles daño relevante.

La comunicación a los titulares debe ocurrir sin demora injustificada y debe informar, al menos:

  • Que ocurrió un incidente
  • Qué datos suyos fueron afectados
  • Qué medidas adoptó la organización
  • Qué medidas puede tomar el titular para protegerse
  • Cómo contactar al DPD o al responsable de datos

Formas de comunicación individual:

  • Correo electrónico directo al titular (preferencial)
  • Correspondencia física
  • Comunicación por aplicación o plataforma del responsable

Cuando la comunicación individual es inviable (por número muy elevado de titulares o datos de contacto desactualizados), la APDP podría autorizar la comunicación colectiva — por ejemplo, publicación en sitio oficial o comunicado a la prensa. Esta alternativa depende de evaluación previa y justificación.

El cronograma operacional en un incidente real

Hora 0 — Incidente descubierto
  ↓
Horas 0–4 — Contención inmediata: aislar sistemas, interrumpir la fuga
  ↓
Horas 4–24 — Evaluación inicial: ¿hay datos personales afectados?
  ↓
Si sí:
  ↓
Día 1 — Activar equipo de respuesta, DPD, área jurídica
  ↓
Día 1–2 — Evaluación de riesgo: ¿alcanzó el umbral de notificación?
  ↓
Si sí:
  ↓
HORA 72 (ref.) — Notificación preliminar a la APDP (sin dilaciones indebidas)
  ↓
Días siguientes — Investigación profunda: causa raíz, alcance total
  ↓
Plazo regulatorio — Informe complementario a la APDP
  ↓
En paralelo — Comunicación a los titulares afectados (sin demora injustificada)
  ↓
Post-incidente — Análisis de causa raíz, medidas correctivas, registro interno

Errores que comprometen la notificación

Esperar la investigación completa para notificar

La obligación de notificar "sin dilaciones indebidas" no puede esperar la conclusión de la investigación. La Ley 21.719 prevé exactamente la notificación preliminar con información incompleta, que debe ser complementada posteriormente. Esperar el fin del análisis técnico para entonces notificar constituye una dilación indebida — y un agravante en la dosimetría de sanciones de la APDP.

Notificar solo si hay certeza del impacto

La obligación de notificación no exige certeza del impacto — exige que el incidente pueda ocasionar daño o perjuicio. La palabra clave es el potencial. Ante duda genuina, la posición más segura es notificar.

No comunicar a los titulares o hacerlo solo de forma formal

La comunicación al titular debe ser sustantiva — describir qué ocurrió, qué datos fueron afectados y qué puede hacer el titular. Una comunicación genérica y vaga que no permite al titular evaluar el riesgo y tomar medidas protectoras no cumple el objetivo de la ley.

Falta de registro de la decisión de no notificar

Cuando el incidente es evaluado y se concluye que no alcanza el umbral de notificación, esa conclusión debe quedar documentada. Registre: qué ocurrió, qué datos fueron afectados, la evaluación de los criterios de riesgo y la conclusión. Eso demuestra diligencia — y es la única defensa si la evaluación es cuestionada posteriormente.

Qué evaluará la APDP en una fiscalización post-incidente

En una fiscalización desencadenada por un incidente, la APDP verificará:

  1. ¿El responsable identificó el incidente en tiempo razonable? La ausencia de monitoreo adecuado es un indicio de inadecuación de las medidas de seguridad.

  2. ¿La evaluación de riesgo fue realizada y documentada? El análisis de los criterios de evaluación debe constar en los registros.

  3. ¿La notificación ocurrió sin dilaciones indebidas? Cualquier demora injustificada es una infracción independiente del incidente en sí.

  4. ¿El contenido de la notificación fue adecuado y completo? Omisiones significativas, incluso en notificaciones preliminares, son evaluadas negativamente.

  5. ¿Los titulares fueron comunicados adecuadamente? Si sí, cómo y cuándo; si no, cuál fue la razón justificada.

  6. ¿Qué medidas se tomaron para contener el incidente y prevenir recurrencias? La adopción de medidas correctivas es considerada atenuante en la dosimetría de sanciones.

Conclusión

La Ley 21.719 transforma la obligación genérica de seguridad en un protocolo concreto: notificación sin dilaciones indebidas a la APDP (con 72 horas como referencia práctica), criterios claros de evaluación del umbral de notificación, contenido mínimo de la notificación, y obligación de comunicar a los titulares afectados.

Cumplir ese protocolo no es solo una obligación legal — es la diferencia entre ser evaluado como un responsable diligente o negligente en una investigación de la APDP. Organizaciones con un plan de respuesta a incidentes documentado, equipo entrenado y registros actualizados están en una posición mucho más sólida cuando ocurre un incidente.

El incidente que ninguna organización quiere tener puede ocurrirle a cualquiera. Lo que distingue a las que salen bien de la situación es lo que hicieron antes — y qué tan rápido y correctamente actuaron después.

Confidata centraliza el registro y gestión de incidentes de seguridad con datos personales, con flujo integrado de evaluación de riesgo, generación de comunicaciones a la APDP y seguimiento de plazos. Conozca cómo organizamos la respuesta a incidentes de forma auditable.

Compartir
#incidente de seguridad#APDP#notificación#Ley 21.719#brecha de datos#DPD#privacidad

Artículos relacionados

Evaluación de Impacto en la Protección de Datos (EIPD) para productos accesibles por menores: guía prácticaLegislación y Regulación · 14 minVerificación de edad en plataformas digitales: cómo proteger los datos de menores bajo la Ley 21.719Legislación y Regulación · 13 minLey 21.719: vigencia, transición y el futuro de la protección de datos en ChileLegislación y Regulación · 13 minDatos sensibles en la Ley 21.719: categorías, bases de licitud y cuidados esencialesLegislación y Regulación · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista