PrivacTechBlog
← Blog

7 de mayo de 2026

Brecha de seguridad de datos: qué hacer según la Ley 21.719

Brecha de seguridad de datos: qué hacer según la Ley 21.719

Una brecha de datos puede ocurrir en cualquier organización, sin importar el tamaño. Pero no todo incidente de seguridad es una brecha notificable, y aquí está el detalle que genera confusión en muchas PyMEs. La Ley 21.719 establece reglas claras: tienes 72 horas para notificar a la CPDT si la brecha representa riesgo real para los derechos de los titulares. Este artículo te muestra el protocolo exacto para actuar rápido, minimizar daños y evitar multas innecesarias.

¿Qué es una brecha de datos notificable?

No todas las filtraciones son iguales. La Ley 21.719 define brecha de seguridad como "el acceso, uso o divulgación no autorizado de datos personales, o la pérdida, modificación o destrucción de éstos". Pero aquí viene lo importante: solo debes notificar si la brecha genera riesgo real o efectivo para los derechos del titular.

Ejemplos prácticos:

  • Sí es notificable: Se filtra una base de datos con nombres, RUTs y contraseñas de clientes. Riesgo evidente de suplantación de identidad.
  • No es notificable: Un backup encriptado se extravía en tránsito, pero los datos están cifrados con estándar AES-256 y nadie tiene la llave. Sin riesgo real.
  • Sí es notificable: Un administrativo deja un informe impreso con datos de empleados en un café. Datos en texto plano, acceso potencial de terceros.

El criterio es el riesgo, no el accidente en sí. Si la brecha está contenida, cifrada y sin acceso real, probablemente no requiera notificación. Pero documentar esa evaluación es obligatorio.

Las 72 horas: notificación a la CPDT

Una vez confirmado que existe brecha notificable, el reloj corre. La Ley 21.719 te da 72 horas para informar a la Corporación de Protección de Datos (CPDT). No es una sugerencia: es un requisito legal del artículo 29.

Qué debes notificar a la CPDT:

  • Descripción clara de la brecha (cómo pasó, qué datos se vieron afectados).
  • Cantidad aproximada de titulares impactados.
  • Medidas de contención ya tomadas.
  • Evaluación preliminar del riesgo para derechos de los titulares.
  • Contacto responsable en tu organización para seguimiento.

Qué esperar después: La CPDT generalmente solicita información adicional dentro de 10 a 15 días. No es una sanción automática. Es un proceso de investigación donde cooperar y demostrar buena fe cuenta. Si tienes un plan previo documentado, la CPDT lo verá y será mucho más favorable.

Notificación a los titulares afectados: cuándo es obligatorio

Aquí hay otro punto crítico: no siempre tienes que avisar públicamente. Solo notificas a los titulares cuando la brecha representa riesgo alto para sus derechos. Si el riesgo es bajo o mitigado rápidamente, no es obligatorio avisar a cada persona.

Ejemplo: Se filtra una lista de correos no verificados de un formulario web (sin datos sensibles). Riesgo bajo. Probablemente no requiera notificación individual. Pero sí debe documentarse.

Cuando es obligatorio notificar:

  • RUT + contraseña filtrada → Riesgo alto de suplantación.
  • Números de tarjeta de crédito expuestos → Fraude directo.
  • Datos de salud o información sensible accesible públicamente.

La notificación debe ser clara, sin tecnicismos innecesarios, y explicar qué pasó, qué riesgo existe y qué pueden hacer los afectados para protegerse.

Contención, evaluación y documentación: el protocolo inmediato

Cuando detectes una brecha, el orden es crítico:

1. Contención (primeras horas): Aisla el acceso. Si es un servidor hackeado, desconéctalo. Si es un empleado que descargó datos indebidamente, revoca el acceso. Detén el sangrado ya.

2. Evaluación de daño (primeras 24-48 horas): ¿Cuántos datos? ¿Qué tipos? ¿Quién tiene acceso? ¿Es reversible? Esta evaluación determina si notificas o no.

3. Documentación (durante todo el proceso): Guarda evidencia de la brecha, cuándo se detectó, quién la descubrió, timeline de acciones. Esta documentación es tu escudo ante la CPDT y los tribunales.

El informe post-incidente y cómo un plan previo reduce multas

Dentro de 30 días de confirmada la brecha, debes elaborar un informe que incluya análisis de causa raíz, medidas tomadas y cambios implementados para evitar repetición. La CPDT lo solicitará.

Aquí está la diferencia que te ahorra dinero: si antes de la brecha ya tenías un plan de respuesta ante incidentes documentado, las multas por la Ley 21.719 pueden reducirse significativamente. La CPDT valora las organizaciones que se preparan.

Un plan previo debe incluir: responsables designados, procedimientos de detección, escalada de alertas, criterios de evaluación de riesgo y protocolo de notificación. No necesita ser extenso; debe ser útil.

Incidente de seguridad vs. brecha de datos: aclaración final

Un incidente de seguridad es cualquier evento adverso (intento fallido de ataque, acceso no autorizado que fue bloqueado). Una brecha es cuando realmente hay exposición de datos. Todo incidente debe registrarse. No toda brecha requiere notificación pública.

En resumen: Documentar → Evaluar riesgo real → Notificar a CPDT en 72 horas si corresponde → Notificar titulares si riesgo es alto → Documentar todo → Mejorar para el futuro.

Conclusión

La Ley 21.719 no es tan compleja si actúas metódicamente. La clave es prepararse antes: ten un plan documentado, designa responsables y practica tu protocolo. Cuando venga la brecha (no es si, sino cuándo), actuarás rápido y con respaldo. Eso es lo que valora la CPDT y lo que te protege de multas.

Si aún no tienes un protocolo claro, PrivacTech te ayuda a diseñar y documentar tu plan de