Notificación de Brechas de Seguridad

/ / /

Nav Ley 21.719 · Brechas — KLG

🔒 Ley 21.719 — Navegar

⚖ Principios › 🔒 Delegado DPO › 👤 Derechos ARCO › 🔍 DPIA › ⚠ Brechas

Notificación de Brechas de Seguridad — Ley 21.719 | KLG Technology

Ley 21.719 · Primera obligación de brechas en Chile

Notificación de
brechas de seguridad:
APDP y titulares
en plazos breves.

La Ley 21.719 establece por primera vez en Chile la obligación de notificar brechas de datos personales a la Agencia de Protección de Datos (APDP) sin dilación injustificada y directamente a los titulares cuando el riesgo es alto. Alineada con el estándar GDPR de 72 horas. Vigente desde el 1 de diciembre de 2026.

Notificación a APDP: sin dilación injustificada (ref. 72 h)

Notificación a titulares: cuando hay alto riesgo

Brecha en Chile activa también la Ley 21.663 (ANCI)

Obligación de notificación de brechas · Ley N° 21.719

"Ante incidentes de seguridad que afecten datos personales, el responsable deberá notificar a la Agencia de Protección de Datos Personales sin dilación injustificada. Cuando la brecha pueda resultar en un alto riesgo para los derechos y libertades de las personas, los titulares afectados también deberán ser notificados directamente."

Fuente oficial: Ley 21.719 · Biblioteca del Congreso Nacional de Chile ↗

Esquema de plazos obligatorios

El reloj parte desde el momento en que detectas la brecha

La Ley 21.719 no fija un plazo numérico fijo, pero establece "sin dilación injustificada" como estándar. La práctica regulatoria internacional y la alineación con GDPR apuntan a 72 horas como referencia operativa. Además, la misma brecha puede activar obligaciones paralelas ante la ANCI bajo la Ley 21.663.

Detección

Activación inmediata del protocolo de respuesta

El momento en que la organización toma conocimiento de la brecha inicia el reloj legal

Desde el instante en que el equipo de seguridad detecta y confirma la brecha, se activan simultáneamente: el protocolo de contención, el proceso de notificación legal y la evaluación de riesgo para los titulares.

Confirmar que existe una brecha de datos personales (no una mera incidencia de TI sin datos personales)
Activar el equipo de respuesta: DPO, seguridad, legal y comunicaciones
Iniciar la contención para evitar que la brecha escale o se propague
Abrir el registro del incidente con marca temporal verificable

horas (ref. APDP)

🏛

Notificación a la APDP — sin dilación injustificada

Obligatoria ante cualquier brecha que represente un riesgo para los titulares · Referencia: 72 horas (alineada con GDPR)

La ley exige notificar "sin dilación injustificada". La práctica regulatoria internacional y la alineación con GDPR sitúan las 72 horas como referencia operativa. No es necesario tener toda la información disponible para notificar: la ley permite actualizar el reporte a medida que se disponga de más datos.

Tipo de brecha: qué datos se vieron afectados, cómo y en qué condiciones
Categorías y número aproximado de titulares afectados
Nombre y datos de contacto del DPO o responsable para la APDP
Consecuencias probables y medidas adoptadas o propuestas para remediar la brecha
Si no se tiene toda la información: notificar con lo disponible e indicar que se complementará

Paralelo

👥

Notificación directa a los titulares afectados

Obligatoria cuando la brecha puede resultar en alto riesgo para los derechos y libertades de las personas

Cuando la evaluación de riesgo determina que la brecha puede resultar en alto riesgo para los titulares, el responsable debe notificarlos directamente, en lenguaje claro y sin técnicismos.

Descripción clara y sencilla de la naturaleza de la brecha
Nombre y datos de contacto del DPO o punto de contacto del responsable
Consecuencias probables de la brecha para el titular
Medidas adoptadas para remediar la brecha y mitigar sus efectos
Recomendaciones al titular para protegerse: cambio de contraseñas, monitoreo de cuentas, etc.

∞

Continuo

📋

Actualizaciones y cierre del expediente

El reporte a la APDP puede y debe actualizarse conforme se disponga de más información

La notificación inicial puede ser incompleta si en ese momento no se dispone de toda la información. El responsable debe actualizar el reporte a medida que avanza la investigación y llevar un registro completo del incidente para la APDP.

Actualizar el reporte a la APDP con los hallazgos de la investigación forense
Informar las medidas adicionales adoptadas para prevenir recurrencia
Cerrar el expediente del incidente con documentación completa y trazable
Revisar y actualizar la EIPD si el tratamiento que causó la brecha está sujeto a evaluación de impacto

Contenido mínimo de las notificaciones

Qué debe contener cada notificación

La ley y la práctica regulatoria establecen un contenido mínimo diferenciado para la notificación a la APDP y la comunicación a los titulares afectados. Ambas deben ser claras, precisas y oportunas.

Notificación a la APDP

Sin dilación injustificada · Referencia operativa: 72 horas

La notificación a la Agencia es de carácter técnico-jurídico. Debe incluir información suficiente para que la APDP pueda evaluar la gravedad del incidente y decidir si requiere investigación adicional.

Descripción de la naturaleza de la brecha: tipo, origen y circunstancias del incidente
Categorías y número aproximado de titulares y registros afectados
Nombre y datos de contacto del DPO o responsable para coordinación
Consecuencias probables del incidente para los titulares y la organización
Medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos adversos
Si la información es incompleta, indicarlo y comprometerse a complementar

Comunicación a titulares afectados

Obligatoria cuando la brecha implica alto riesgo · Lenguaje claro y accesible

La comunicación a los titulares debe ser en lenguaje comprensible para el ciudadano comun, no en jerga legal o técnica. Su objetivo es que la persona entienda qué pasó y qué puede hacer para protegerse.

Descripción clara de la brecha: qué ocurrió, qué datos se vieron afectados y cómo
Nombre y datos de contacto del DPO o del responsable que el titular puede contactar
Consecuencias probables de la brecha para el titular en términos prácticos
Medidas adoptadas por el responsable para corregir la brecha
Recomendaciones prácticas: cambio de contraseñas, monitoreo de cuentas, alerta de fraude
Cómo ejercer los derechos ARCO si el titular desea actuar sobre sus datos afectados

Cuándo NO es obligatorio notificar a los titulares

Excepciones que la ley reconoce para la comunicación directa a los afectados

La comunicación directa a los titulares puede omitirse en casos específicos, pero esto debe documentarse y justificarse ante la APDP. La omisión no exime de la notificación a la Agencia.

Cuando el responsable ha implementado medidas de protección que hacen los datos incomprensibles (cifrado robusto aplicado correctamente)
Cuando las medidas adoptadas garantizan que el riesgo para los titulares ya no es alto
Cuando la notificación individual requiere un esfuerzo desproporcionado: en ese caso se puede usar comunicación pública equivalente
En todo caso, la decisión de no notificar debe quedar documentada y justificada en el expediente del incidente

Doble obligación: APDP y ANCI en paralelo

La misma brecha puede activar simultáneamente la Ley 21.719 y la Ley 21.663

Si la organización es un OIV (Operador de Importancia Vital) o presta servicios esenciales, una misma brecha puede activar simultáneamente las obligaciones de reporte ante la APDP (Ley 21.719) y ante la ANCI y el CSIRT Nacional (Ley 21.663). Los protocolos internos deben prever esta doble gestión.

La Ley 21.719 regula la notificación de brechas que afecten datos personales
La Ley 21.663 regula el reporte de incidentes de ciberseguridad significativos (con plazo de 3 horas para alerta temprana)
Ambas pueden activarse simultáneamente si la brecha involucra datos personales y afecta sistemas calificados como críticos
El protocolo de respuesta debe gestionar ambas notificaciones en paralelo sin contradicciones entre ellas

Tipología de brechas según su naturaleza

No toda incidencia de TI es una brecha notificable: tipos y criterios

La obligación de notificar se activa cuando hay una violación de seguridad que afecta datos personales. Existen tres tipos según la dimensión afectada, y su clasificación determina el nivel de riesgo y las medidas requeridas.

🔒

Brecha de confidencialidad

Acceso no autorizado o divulgación a personas que no deberían tener acceso. Ejemplo: hackeo, fuga de datos, empleado que comparte datos sin autorización.

Notificación probable

⚙

Brecha de integridad

Alteración no autorizada de datos personales. Ejemplo: modificación de registros médicos, cambio de datos bancarios, alteración de calificaciones crediticias.

Evaluación caso a caso

📌

Brecha de disponibilidad

Pérdida o destrucción no autorizada de datos personales, incluyendo el cifrado por ransomware sin respaldo recuperable o eliminación accidental irreversible.

Alto riesgo si irreversible

🔍

Criterio de alto riesgo

Se evalúa considerando: tipo y volumen de datos afectados, número de titulares, gravedad de las consecuencias posibles, vulnerabilidad de los afectados y medidas de protección aplicadas.

Requiere evaluación

🛡

Datos sensibles siempre de alto riesgo

Brechas que involucren datos de salud, biométricos, genéticos, origen étnico, datos financieros o de menores se presumen de alto riesgo y activan la notificación a titulares.

Notificación a titulares

📝

Registro de todas las brechas

Incluso las brechas que no requieran notificación a la APDP ni a los titulares deben quedar registradas internamente, con documentación de la decisión de no notificar y su fundamento.

Obligatorio siempre

Infraestructura de respuesta que la ley exige tener instalada

No se puede notificar en 72 horas
sin haber preparado el protocolo antes

La obligación de notificar "sin dilación injustificada" es imposible de cumplir si el protocolo de respuesta no está diseñado e implementado antes de que ocurra la brecha. La ley exige preparación, no improvisación.

📡

Monitoreo y detección 24×7

Sin capacidad de detectar la brecha oportunamente, el plazo de 72 horas puede agotarse antes de que la organización siquiera sepa que ocurrió. La detección tardía no exime de la obligación.

📋

Protocolo de respuesta documentado

Procedimiento predefinido con roles, escalamientos, plantillas de notificación, canales de comunicación y criterios de evaluación de riesgo para activar o no la notificación a titulares.

👤

DPO disponible y empoderado

El DPO es quien gestiona la notificación a la APDP y coordina la comunicación a los titulares. Su disponibilidad ante una brecha nocturna o de fin de semana es crítica para cumplir el plazo.

🎯

Criterios de evaluación de riesgo

Metodología predefinida para evaluar si una brecha representa riesgo (notificar a APDP) o alto riesgo (notificar también a titulares). Debe ejecutarse rápidamente bajo presión.

📊

Registro auditado de incidentes

Bitácora completa de cada incidente: marca temporal de detección, evaluación de riesgo, notificaciones enviadas, medidas adoptadas y cierre. Evidencia directa ante la APDP.

🛠

Simulacros y ejercicios anuales

Ejercicios de tabla donde se simula una brecha real: detección, evaluación, decisión de notificar y redacción de los reportes. Valida que el protocolo funciona bajo presión.

Protocolo de respuesta

Las cuatro fases del protocolo de respuesta ante brechas

Desde la detección hasta el cierre del expediente, el protocolo debe estar predefinido, documentado y ejercitado. Bajo presión y con el reloj corriendo, no hay tiempo para improvisar.

Fase 1 · Detección (0 h)

Identificar y confirmar

Confirmar que existe una brecha que involucra datos personales. Activar al equipo de respuesta: DPO, seguridad TI, legal y comunicaciones. Abrir el registro del incidente.

→

Fase 2 · Contención (0–6 h)

Detener y evaluar

Contener la brecha para evitar su propagación. Evaluar el riesgo: ¿hay datos personales afectados? ¿Es riesgo alto? ¿Activa también la Ley 21.663? Decidir si notificar a titulares.

→

Fase 3 · Notificación (ref. 72 h)

Comunicar a APDP y titulares

Enviar notificación formal a la APDP con el contenido mínimo. Si corresponde, comunicar a los titulares afectados en lenguaje claro. Actualizar si hay nueva información disponible.

→

Fase 4 · Cierre (post-incidente)

Remediar y aprender

Eliminar la causa raíz, reforzar controles, actualizar la EIPD si aplica, cerrar el expediente con documentación completa y realizar una revisión post-incidente para prevenir recurrencia.

Documentación que el expediente de la brecha debe contener

🕐

Marca temporal de detección

Registro verificable del momento exacto en que la organización tomó conocimiento de la brecha. Es el punto de partida del plazo legal.

🎯

Evaluación de riesgo documentada

Registro de la evaluación de riesgo para los titulares: criterios aplicados, nivel de riesgo determinado y decisión de notificar o no a los afectados con su fundamento.

🏛

Copia de la notificación a la APDP

Texto completo del reporte enviado a la Agencia, con fecha y hora de envío, y confirmación de recepción si está disponible.

👥

Evidencia de notificación a titulares

Si se notificó a los titulares: copia del mensaje enviado, canal utilizado, fecha y número de personas notificadas. Si no se notificó: justificación documentada.

🔑

Medidas de contención y remediación

Registro de todas las acciones técnicas y organizativas adoptadas para contener la brecha, eliminar la causa raíz y reforzar los controles.

📜

Informe post-incidente

Revisión completa del incidente: causa raíz, línea de tiempo, impacto real, lecciones aprendidas y plan de acción para prevenir recurrencia.

Artículos 38–40 · Infracciones y sanciones

El costo de no notificar o notificar fuera de plazo

Omitir la notificación a la APDP o a los titulares, o realizarla fuera del plazo exigido sin justificación, constituye una infraccción grave o gravísima bajo la Ley 21.719.

Infracciones gravísimas

20.000 UTM

O 4% de ingresos anuales en reincidencia grave

No notificar a la APDP una brecha que representa riesgo para los titulares
Ocultar intencionalmente una brecha de seguridad a la Agencia
No notificar a los titulares cuando la brecha representa alto riesgo y no existe excepción aplicable
Proporcionar información falsa o incompleta a la APDP en la notificación

Ver art. 40 en BCN ↗

Infracciones graves

10.000 UTM

Equivalente a aprox. USD 775.000

Notificar a la APDP con dilación injustificada significativa
Notificar con contenido deficiente que impida a la APDP evaluar adecuadamente la brecha
No mantener el registro interno de brechas exigido por la ley
No actualizar el reporte a la APDP cuando se disponga de información adicional relevante

Ver art. 38 en BCN ↗

Cómo KLG Technology lo acompaña

Protocolo de brechas listo
antes de que ocurra
el incidente

KLG Technology diseña e implementa el protocolo completo de respuesta ante brechas de datos personales: detección, evaluación, notificación a la APDP y comunicación a los titulares, todo documentado y ejercitado antes de que ocurra el primer incidente.

El protocolo cubre simultáneamente las obligaciones de la Ley 21.719 (APDP) y la Ley 21.663 (ANCI / CSIRT Nacional), dado que una misma brecha puede activar ambas, generando una sola respuesta coordinada y trazable.

📡

SOC · Detección 24×7

Monitoreo continuo que permite detectar la brecha y activar el protocolo dentro del plazo que la ley exige para la notificación a la APDP

🔒

DPO as a Service

El DPO gestiona la notificación formal a la APDP y coordina la comunicación a los titulares afectados dentro del plazo legal

📋

GRC · Protocolo y plantillas de notificación

Diseño del protocolo de respuesta, plantillas de notificación a APDP y titulares, y criterios de evaluación de riesgo predefinidos

👤

CISO as a Service · Coordinación Ley 21.663

El CISO coordina la notificación paralela a la ANCI y al CSIRT Nacional cuando la brecha también activa obligaciones de la Ley 21.663

🛠

Simulacros de brechas

Ejercicios tabletop que validan que el protocolo de respuesta funciona bajo presión real y dentro de los plazos legales

¿Su organización puede notificar una brecha a la APDP en 72 horas?

Si no tiene un protocolo predefinido, un DPO disponible y monitoreo continuo, la respuesta es no. KLG Technology implementa la infraestructura completa de respuesta a brechas antes de que ocurra el primer incidente.

Implementar protocolo de brechas → Ver más sobre la Ley 21.719