Seguridad de Datos y Notificación de Brechas bajo la Ley 21.719: 72 Horas para Actuar
Ninguna organización está completamente inmune a un incidente de seguridad. Ransomware, phishing, acceso no autorizado, errores humanos que derivan en exposición de datos — la pregunta no es si ocurrirá, sino cuándo. Lo que la Ley 21.719 exige es que la organización esté preparada: que haya adoptado medidas de seguridad proporcionales al riesgo antes del incidente, y que notifique a la Agencia de Protección de Datos Personales (APDP) y a los titulares afectados dentro de 72 horas cuando ocurra.
Este artículo analiza las obligaciones de seguridad y notificación de brechas bajo la Ley 21.719, la coordinación con la Ley Marco de Ciberseguridad (Ley 21.663), y cómo prepararse para cumplir antes de que el reloj empiece a correr.
El deber de seguridad bajo la Ley 21.719
La Ley 21.719 establece que el responsable del tratamiento y el encargado del tratamiento deben adoptar medidas técnicas y organizativas adecuadas para proteger los datos personales de accesos no autorizados, pérdida, alteración, divulgación o tratamiento ilícito.
Este deber de seguridad es proporcional al riesgo: las medidas exigidas dependen de la naturaleza de los datos tratados, la categoría de los titulares, el volumen del tratamiento y el estado actual de la tecnología disponible.
Medidas técnicas
- Cifrado de datos en reposo y en tránsito, especialmente para datos sensibles
- Controles de acceso granulares: autenticación multifactor (MFA), gestión de identidades, principio de menor privilegio
- Monitoreo de intrusiones: detección de comportamientos anómalos, alertas de acceso
- Segmentación de redes: aislar los sistemas que tratan datos sensibles
- Gestión de vulnerabilidades: actualizaciones de seguridad, pentests periódicos
- Backups cifrados y probados con recuperación verificada
Medidas organizativas
- Política de seguridad de la información aprobada por la alta dirección
- Clasificación de datos: identificar qué datos existen, dónde están y qué nivel de protección requieren
- Capacitación periódica de todos los colaboradores que acceden a datos personales
- Controles de acceso físico a instalaciones donde se tratan datos
- Gestión de terceros: exigir a los encargados del tratamiento el mismo nivel de seguridad
- Plan de respuesta a incidentes documentado y probado
La regla de proporcionalidad
El estándar de la Ley 21.719 no es perfección técnica — es proporcionalidad. Una clínica que trata historiales médicos de miles de pacientes debe implementar controles de seguridad más robustos que una pequeña empresa que trata solo datos de contacto de sus clientes. Pero ambas tienen el deber de seguridad — solo difieren en su intensidad.
La Ley 21.719 evalúa las medidas de seguridad considerando las técnicas disponibles en el momento del tratamiento. Lo que era una medida razonable en 2022 puede ser insuficiente en 2026. La seguridad no es un estado que se alcanza y se mantiene — es un proceso continuo.
Privacidad desde el diseño y por defecto
La Ley 21.719 consagra el principio de privacidad desde el diseño (privacy by design): las medidas de seguridad deben incorporarse desde la fase de concepción de cualquier sistema, producto o proceso que involucre tratamiento de datos personales — no como añadido posterior.
Qué significa en la práctica
- Nuevos sistemas deben incluir controles de privacidad en la arquitectura antes del primer despliegue: minimización de datos, controles de acceso, cifrado desde el inicio
- Nuevos productos o servicios deben pasar por una evaluación de privacidad antes del lanzamiento al mercado
- Nuevos procesos de negocio que impliquen tratamiento de datos deben diseñarse con protección incorporada, no como restricción
La privacidad desde el diseño reduce el costo de cumplimiento a largo plazo. Es significativamente más económico incorporar controles de privacidad durante el diseño de un sistema que refactorizarlo después de que está en producción — o después de un incidente.
Privacidad por defecto
La configuración predeterminada de cualquier producto o servicio debe ser la que involucre el menor tratamiento de datos posible para cumplir la finalidad. El usuario no debe tener que "optar por salir" del tratamiento excesivo — debe ser la organización quien elija "optar por entrar" cuando el tratamiento adicional sea necesario.
Art. 14 sexies: la obligación de notificación de brechas
El artículo 14 sexies de la Ley 21.719 establece la obligación de notificar brechas de seguridad. Este es uno de los artículos más operacionalmente exigentes de la ley: cuando se activa, el responsable tiene 72 horas para actuar.
¿Qué es una brecha notificable?
Una brecha de seguridad genera la obligación de notificación cuando representa un riesgo razonable para los derechos y libertades de los titulares afectados. El responsable debe evaluar ese riesgo considerando:
- Tipo de datos comprometidos: datos sensibles (salud, biometría, orientación sexual, religión) implican mayor riesgo; datos de contacto simples implican riesgo menor
- Número de titulares afectados: una brecha masiva tiene mayor potencial de daño que una puntual
- Probabilidad de daño real: ¿los datos expuestos pueden facilitar fraude, discriminación, extorsión o daño reputacional?
- Estado del cifrado: si los datos estaban correctamente cifrados y el atacante no tiene la clave, el riesgo puede ser considerado mitigado
- Velocidad de contención: ¿la brecha fue contenida antes de que los datos se divulgaran?
Registre todos los incidentes: incluso los que no superan el umbral de notificación. La Ley 21.719 requiere que el responsable mantenga un registro de todos los incidentes de seguridad, comunicados o no, para que la APDP pueda verificar la corrección de las decisiones de no notificar.
El plazo de 72 horas
Desde el momento en que el responsable toma conocimiento de que una brecha representa riesgo razonable para los titulares, tiene 72 horas para:
- Notificar a la APDP
- Notificar a los titulares afectados cuando el incidente pueda causarles perjuicio grave
Si la notificación no puede completarse en 72 horas, el responsable debe comunicar los hechos conocidos dentro del plazo y complementar la información en una notificación adicional a la brevedad.
Contenido de la notificación a la APDP
La notificación debe incluir, como mínimo:
| Elemento | Descripción |
|---|---|
| Naturaleza del incidente | Tipo de brecha (confidencialidad, integridad, disponibilidad), cómo ocurrió |
| Datos afectados | Categorías y, si es posible, número aproximado de titulares afectados |
| Consecuencias probables | Riesgos identificados para los titulares |
| Medidas adoptadas | Acciones de contención, mitigación y respuesta ya tomadas o previstas |
| Información de contacto | Nombre y datos del DPD o responsable de la notificación |
Notificación a los titulares
Los titulares deben ser notificados cuando el incidente pueda causarles perjuicio grave — en términos claros, comprensibles y accesibles. La comunicación debe incluir:
- La naturaleza del incidente (sin tecnicismos innecesarios)
- Los datos personales afectados
- Las medidas que la organización ha adoptado
- Las acciones que el titular puede tomar para protegerse
- Datos de contacto para consultas
Coordinación con la Ley Marco de Ciberseguridad (Ley 21.663)
Chile cuenta desde 2024 con una Ley Marco de Ciberseguridad (Ley 21.663) que establece obligaciones paralelas de notificación para Operadores de Importancia Vital (OIV) y Prestadores de Servicios Esenciales (PSE) — entidades de sectores críticos como energía, agua, telecomunicaciones, salud y servicios financieros.
Estas organizaciones tienen la obligación adicional de notificar a la Agencia Nacional de Ciberseguridad (ANCI) cuando sufran incidentes de ciberseguridad, bajo plazos propios de la Ley 21.663.
El problema de las obligaciones paralelas
Cuando un OIV o PSE sufre una brecha de datos personales, pueden activarse simultáneamente:
- Obligación de notificar a la APDP bajo el Art. 14 sexies de la Ley 21.719 (72 horas)
- Obligación de notificar a la ANCI bajo la Ley 21.663 (plazo propio)
Los plazos y destinatarios son distintos, el contenido puede tener diferencias, y ambas obligaciones corren en paralelo. Para estas organizaciones, contar con un plan de respuesta a incidentes integrado que contemple ambos marcos regulatorios es esencial.
Frameworks de referencia para la seguridad
En ausencia de normas técnicas mínimas específicas publicadas por la APDP (que emitirá regulación secundaria desde diciembre de 2026), las organizaciones deben apoyarse en frameworks internacionales reconocidos:
ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información
El estándar internacional más adoptado para sistemas de gestión de seguridad. Proporciona un marco estructurado para establecer, implementar, mantener y mejorar continuamente la seguridad de la información. Su certificación sirve como evidencia de conformidad con el deber de seguridad de la Ley 21.719.
ISO/IEC 27701 — Extensión de privacidad sobre ISO 27001
Extiende la ISO 27001 para incluir controles específicos de privacidad y protección de datos personales, con mapeos a los requisitos del RGPD europeo y adaptables a la Ley 21.719. La certificación ISO 27701 requiere contar primero con ISO 27001.
NIST Cybersecurity Framework 2.0
Framework del National Institute of Standards and Technology de EE.UU., organizado en seis funciones: Govern, Identify, Protect, Detect, Respond y Recover. De adopción libre y ampliamente utilizado en Chile, especialmente en el sector financiero y de telecomunicaciones.
CIS Controls
Conjunto de 18 controles priorizados desarrollados por el Center for Internet Security. Más accesibles que ISO 27001 para organizaciones de menor tamaño, ofrecen un camino incremental hacia la madurez en seguridad.
Privacidad desde el diseño: checklist
El deber de incorporar privacidad desde la concepción se traduce en preguntas concretas antes de iniciar cualquier nuevo proyecto, sistema o proceso:
| Pregunta | Objetivo |
|---|---|
| ¿Qué datos personales son estrictamente necesarios para esta finalidad? | Minimización (principio del Art. 3°) |
| ¿Los datos estarán cifrados en reposo y en tránsito? | Protección ante acceso no autorizado |
| ¿Quién necesita acceder y por cuánto tiempo? | Principio de menor privilegio |
| ¿Cómo podrá el titular ejercer sus derechos? | Atendimiento a los arts. 5° a 9° |
| ¿Qué ocurre con los datos cuando el servicio se cierre o el contrato termine? | Gestión de ciclo de vida |
| ¿El proveedor de infraestructura o SaaS tiene contrato DPA en vigor? | Responsabilidad del encargado |
| ¿Este tratamiento requiere EIPD? | Evaluación de impacto según Art. 15 ter |
Errores frecuentes en seguridad y notificación
| Error | Riesgo | Corrección |
|---|---|---|
| No tener plan de respuesta a incidentes documentado | Improvisación en el momento crítico; pérdida del plazo de 72 horas | Elaborar y probar el plan periódicamente con simulacros (tabletop exercises) |
| Evaluar todo incidente como "bajo riesgo" para evitar notificar | APDP puede requerir el registro y aplicar sanción por omisión | Documentar criterios de evaluación de riesgo; conservar el razonamiento de cada decisión de no notificar |
| No registrar incidentes no comunicados | Incumplimiento del deber de registro | Mantener registro de todos los incidentes con independencia de si se notificaron |
| Implementar seguridad solo en sistemas nuevos | Sistemas legados con datos personales desprotegidos | Inventariar sistemas legados y aplicar controles proporcionales |
| Delegar toda la seguridad al proveedor de cloud | El responsable continúa siendo el obligado principal | Verificar controles del proveedor, incluir requisitos de seguridad en el contrato DPA |
| No cifrar datos sensibles en reposo | Mayor impacto de cualquier brecha; menor probabilidad de mitigación | Implementar cifrado como medida estándar para datos sensibles |
| Notificar a la APDP sin avisar primero al equipo jurídico | Notificación prematura o con información incorrecta | Activar equipo jurídico desde el primer momento; coordinar la notificación |
Plan de respuesta a incidentes: las 5 fases
Un plan documentado y probado es la diferencia entre una respuesta ordenada y un caos que agrava el daño:
Fase 1: Detección y análisis (horas 0-4)
- Confirmar que el incidente ocurrió (no una falsa alarma)
- Identificar el tipo de brecha (confidencialidad, integridad, disponibilidad)
- Escalar al DPD y equipo jurídico
- Iniciar el registro del incidente
Fase 2: Contención (horas 4-12)
- Aislar los sistemas afectados para evitar propagación
- Preservar evidencia forense
- Evaluar el alcance preliminar (datos comprometidos, titulares afectados)
Fase 3: Evaluación de riesgo (horas 12-24)
- Determinar si el incidente genera riesgo razonable para los titulares
- Si sí → activar protocolo de notificación dentro del plazo de 72 horas
- Documentar el razonamiento de la decisión
Fase 4: Notificación (horas 24-72)
- Notificar a la APDP con la información disponible
- Notificar a los titulares afectados cuando el riesgo justifique comunicación individual
- Si aplica: notificar a la ANCI bajo Ley 21.663
- Completar notificaciones complementarias con información adicional
Fase 5: Remediación y lecciones aprendidas (días 3-30)
- Eliminar la causa raíz del incidente
- Implementar medidas adicionales para prevenir recurrencia
- Actualizar el registro de incidentes con el cierre del caso
- Actualizar el plan de respuesta con las lecciones aprendidas
Conclusión
Las obligaciones de seguridad y notificación de brechas de la Ley 21.719 no definen un checklist de controles técnicos específicos — establecen un deber de seguridad proporcional al riesgo. El responsable debe adoptar medidas técnicas y organizativas acordes con la naturaleza de los datos, el volumen del tratamiento y el estado actual de la tecnología.
Cuando ocurre una brecha, las 72 horas son un plazo corto para una organización que no se ha preparado. Para una organización que tiene su plan de respuesta documentado, su equipo designado, sus criterios de evaluación de riesgo definidos y sus canales de comunicación con la APDP identificados, 72 horas son suficientes.
La preparación previa no es un gasto — es el seguro que hace que la respuesta al incidente no se convierta en una segunda crisis.
Confidata monitorea el inventario de actividades de tratamiento, registra las medidas de seguridad por actividad y genera alertas para incidentes que requieren notificación a la APDP — con los elementos necesarios para cumplir el Art. 14 sexies de la Ley 21.719 dentro del plazo de 72 horas. Conozca nuestra plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.