¿Qué cuenta como brecha de datos personales bajo la Ley 21.719?

Cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de datos personales: acceso no autorizado, pérdida o robo de dispositivos, divulgación accidental (un export enviado a quien no era, una carpeta expuesta) o destrucción por ransomware. La mayoría de las brechas reales son errores de configuración, no ataques sofisticados.

¿A quién hay que notificar una brecha?

A la Agencia de Protección de Datos Personales en todos los casos relevantes, describiendo qué pasó y qué medidas se tomaron. Y, además, a los propios titulares afectados cuando la brecha entraña un riesgo para sus derechos, en lenguaje claro para que puedan protegerse.

¿En qué plazo hay que notificar?

A la brevedad posible y sin dilación indebida. El plazo y el formato exactos se rigen por la normativa de aplicación de la Agencia, pero la regla operativa es inequívoca: cuanto antes. Una notificación tardía o incompleta agrava la situación.

¿Qué pasa si no notifico una brecha?

Omitir la notificación es una de las conductas que la ley trata con especial severidad. Se suma, además, al escrutinio sobre la causa del incidente: si faltaba una medida de seguridad básica, la falta de diligencia opera como agravante al graduar la sanción.

Notificación de brechas de seguridad: tu deber bajo la Ley 21.719

En corto: la Ley 21.719 te obliga a notificar las vulneraciones de seguridad de datos personales a la Agencia de Protección de Datos y, cuando hay riesgo para los derechos de las personas, también a los propios afectados —a la brevedad y sin dilación indebida. No notificar a tiempo es, en sí mismo, una infracción, además del daño del incidente. Y solo puedes notificar bien lo que sabes que tienes.

Hasta ahora, una filtración de datos en Chile rara vez tenía consecuencias regulatorias directas: si nadie demandaba, no pasaba gran cosa. La Ley 21.719 invierte esa lógica. Introduce un deber activo de notificar las vulneraciones de seguridad, en línea con el estándar del GDPR europeo. El silencio deja de ser una opción válida.

Qué cuenta como "brecha" de datos personales

No es solo un hackeo de película. Una vulneración de seguridad es cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de datos personales. En la práctica, incluye situaciones mucho más cotidianas que un ataque dirigido:

Acceso no autorizado: un tercero entra a la base de clientes, al panel de administración o a un correo corporativo.
Pérdida o robo: un portátil, un teléfono o una copia de seguridad con datos que desaparece.
Divulgación accidental: un export de Excel enviado al destinatario equivocado, una carpeta en la nube expuesta públicamente, un formulario que filtra respuestas.
Destrucción o alteración: un ransomware que cifra o borra registros, dejando los datos indisponibles.

La mayoría de las brechas reales no son intrusiones sofisticadas: son errores de configuración y de proceso interno.

El deber de notificar: a quién y cuándo

Detectada una vulneración que afecta datos personales, el responsable debe actuar en dos frentes:

A la Agencia de Protección de Datos Personales: comunicar el incidente a la brevedad posible, sin dilación indebida, describiendo qué pasó, qué datos se vieron afectados, las posibles consecuencias y las medidas adoptadas.
A los titulares afectados: cuando la brecha entraña un riesgo para sus derechos (por ejemplo, datos sensibles, financieros o credenciales), hay que avisar también a las personas, en lenguaje claro, para que puedan protegerse.

El plazo exacto y el formato de la notificación se rigen por lo que establezca la Agencia en su normativa de aplicación. La regla operativa, sin embargo, es inequívoca: cuanto antes. Una notificación tardía o incompleta agrava la situación en lugar de mitigarla.

Qué pasa si no notificas

Omitir la notificación de una brecha es una de las conductas que la ley trata con especial severidad, porque priva a las personas de la posibilidad de defenderse y a la autoridad de supervisar. Se suma, además, al escrutinio sobre por qué ocurrió el incidente: si la causa fue una medida de seguridad básica que no estaba implementada, la falta de diligencia opera como agravante al graduar la sanción.

¿Sabes qué datos expone tu web ante una brecha?

Muchas filtraciones empiezan en la capa pública: formularios sin cifrado, endpoints expuestos, datos que viajan en claro. Nuestra verificación inicial gratuita mapea esas señales en tu sitio —sin instalar nada.

Escanear mi web · Gratis

No puedes notificar bien lo que no sabes que tienes

El mayor problema en una brecha no suele ser el ataque: es que la empresa no sabe qué datos tenía, dónde, ni quién accedía a ellos. Sin ese mapa, la notificación a la Agencia es imposible de completar con rigor, y el reloj corre en contra.

Prepararse para notificar bien es, en realidad, prepararse antes de la brecha:

Saber qué datos tratas y dónde viven: un inventario de tratamientos (el RAT) y de los flujos de datos de tu web y tus sistemas.
Reducir la superficie de exposición: menos datos retenidos sin finalidad, menos endpoints abiertos, transmisión cifrada.
Tener un plan de respuesta: quién decide, quién notifica, con qué plantilla, en qué plazo.

El diagnóstico técnico de la capa pública es el primer eslabón de ese mapa: muestra qué está expuesto hoy, antes de que un incidente lo convierta en una notificación urgente.

Conoce tu exposición técnica antes de que sea una brecha

Escaneamos las señales públicas de tu web e identificamos los puntos de exposición más comunes frente a la Ley 21.719. Gratis, sin compromiso y sin instalar nada.

Escanear mi web · Gratis

Este artículo se publica con fines informativos y de divulgación técnica respecto a la Ley N.º 21.719 de la República de Chile. Los análisis de AGLAYA corresponden a diagnósticos técnicos preliminares basados en las capas tecnológicas visibles de los sitios web evaluados. No constituyen asesoría jurídica, defensa legal, dictamen de cumplimiento formal ni certificación de adecuación normativa. Para la aplicación legal específica de estas normas a su organización, se recomienda la contratación de asesoría jurídica especializada.