🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719

juan@preyhq.com
Juan O.
Apr 1, 2026
0 minutos de lectura
Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juan@preyhq.com
Juan O.

Juan lidera la estrategia de contenido en Prey, trabajando junto a equipos de TI y seguridad en distintos sectores. Su enfoque está en explicar problemas reales como la seguridad de dispositivos y el cumplimiento de forma clara, práctica y aplicable.

Una filtración de datos personales rara vez empieza como un gran escándalo. A veces basta un notebook perdido, un celular corporativo fuera de control o credenciales expuestas que nadie detectó a tiempo. Bajo la Ley 21.719, ese tipo de incidente ya no es solo un problema técnico: es una obligación legal de respuesta, documentación y notificación — con multas de hasta 20.000 UTM y hasta un 4% de los ingresos anuales en caso de reincidencia.

El Delegado de Protección de Datos (DPO) es quien debe liderar esa respuesta. Pero actuar bajo presión sin un protocolo claro es una receta para errores que agravan la situación: evidencia destruida, notificaciones tardías o titulares que se enteran por la prensa antes que por la organización.

Si ya cuentas con un marco de preparación previa ante brechas y conoces el flujo de contención y actividades post-incidente, esta guía es el siguiente paso: un plan de acción concreto para DPOs, responsables de TI y equipos de cumplimiento que detalla qué hacer cuando la filtración ya ocurrió, cómo coordinar la respuesta entre áreas y qué medidas permiten contener el daño sin perder la trazabilidad que exige la Agencia.

TL;DR

6 pasos ante una filtración de datos personales

  • Activar el comité de crisis: El DPO convoca a TI, Legal y Comunicaciones para coordinar la respuesta de forma inmediata.
  • Detectar y calificar: Determinar si la brecha compromete datos sensibles, financieros o de menores y si genera riesgo razonable para los titulares.
  • Contener técnicamente: Aislar sistemas comprometidos, revocar credenciales vulneradas y restaurar respaldos limpios sin destruir evidencia forense.
  • Proteger dispositivos: Ejecutar bloqueo, cifrado de disco o borrado remoto en equipos comprometidos según el nivel de riesgo.
  • Notificar a la Agencia y a los titulares: Reportar sin dilación dentro de las primeras 48 a 72 horas, detallando naturaleza, volumen e impacto de la vulneración.
  • Auditar y mejorar: Evaluar el impacto post-brecha con una DPIA, actualizar protocolos y programar simulacros dentro de los 90 días siguientes.

El DPO como líder de la respuesta al incidente

El Delegado de Protección de Datos actúa como la figura central para coordinar la respuesta técnica y legal ante una filtración. Su rol no es ejecutar cada acción, sino asegurar que cada decisión cumpla con los estándares de seguridad y transparencia que exige la normativa — y que quede documentada para acreditarlo después.

Activación del Comité de Crisis

Ante una vulneración confirmada o sospechada, el Delegado de Protección de Datos debe convocar de inmediato a las áreas críticas. Esta estructura de respuesta permite una reacción coordinada donde cada equipo ejecuta acciones específicas según la normativa vigente:

  • Tecnologías de la Información (TI): Ejecuta la contención técnica inmediata. Sus primeras acciones incluyen aislar los sistemas comprometidos de la red corporativa, revocar credenciales vulneradas, preservar logs y evidencia digital sin alterarla, y activar los respaldos limpios. TI no debe restaurar sistemas hasta que la evidencia forense esté asegurada.
  • Departamento Legal: Evalúa la gravedad de la infracción y determina las obligaciones de notificación. Prepara la defensa acreditando el cumplimiento de los principios de licitud y lealtad para atenuar la responsabilidad del responsable. También evalúa si procede notificación directa a titulares según el artículo 14 sexies.
  • Comunicaciones: Prepara los mensajes dirigidos a titulares afectados y a la Agencia de Protección de Datos utilizando un lenguaje claro y sencillo, como exige la ley. Define los canales, voceros y cronograma de comunicación. No se emite ningún comunicado sin validación de Legal.

El comité debe tener roles y responsabilidades predefinidos antes de que ocurra un incidente. Improvisar la estructura de respuesta durante una crisis es uno de los errores más costosos en términos de tiempo y exposición legal.

Centralización de la documentación

Desde el minuto cero, el DPO debe iniciar un registro formal del incidente. Esta documentación es la principal herramienta para demostrar diligencia ante una eventual fiscalización de la Agencia, y para atenuar la responsabilidad administrativa del responsable del tratamiento.

El expediente del incidente debe incluir, como mínimo:

  • Fecha y hora de detección, y cómo se identificó la vulneración.
  • Sistemas, bases de datos y equipos involucrados.
  • Categorías de datos comprometidos y volumen estimado de titulares afectados.
  • Cronología de las acciones de contención ejecutadas y quién las autorizó.
  • Comunicaciones internas y externas emitidas, con marcas de tiempo.
  • Evidencia operativa que acredite los controles que estaban vigentes antes del incidente.

Mantener esta trazabilidad no es opcional: el artículo 37 de la ley considera la diligencia demostrada como factor atenuante al momento de calcular sanciones. Un expediente bien armado puede ser la diferencia entre una infracción grave y una gravísima.

Detección y calificación: ¿es una filtración reportable?

Un fallo en los servidores o una interrupción del servicio no siempre constituye una brecha de datos. Para que un incidente técnico exija la activación de los protocolos de notificación, debe comprometer efectivamente datos personales y generar un riesgo razonable para los derechos y libertades de las personas afectadas.

Según el artículo 14 sexies de la Ley 21.719, una vulneración es reportable cuando se produce alguna de estas situaciones:

  • Destrucción o pérdida: Eliminación accidental o ilícita de datos personales — por ejemplo, un ransomware que cifra una base de datos sin respaldo disponible.
  • Filtración o alteración: Modificación no autorizada o exposición indebida de información — como un bucket de almacenamiento público que expone registros de clientes.
  • Acceso o comunicación no autorizados: Ingreso de terceros a los sistemas o transmisión de datos a personas sin los permisos correspondientes — incluyendo un ex empleado que conserva credenciales activas.

Si el incidente encaja en alguna de estas categorías, el DPO debe asumir que es reportable e iniciar el protocolo. La ley penaliza la omisión, no la cautela.

Clasificación de los datos comprometidos

El siguiente paso es determinar qué tipo de información fue expuesta. La categoría de los datos afectados define directamente el nivel de riesgo y las obligaciones de notificación. El DPO debe clasificar la información comprometida utilizando las categorías que establece la propia ley:

Categoría Definición legal Ejemplos Obligación específica
Datos sensibles (Art. 2, letra g) Información que revela la vida privada o identidad de la persona. Origen étnico, convicciones ideológicas, orientación sexual, identidad de género, afiliación sindical. Notificación obligatoria a titulares (Art. 14 sexies).
Datos de salud y perfil biológico (Art. 16 bis) Registros médicos, genéticos, proteómicos o metabólicos. Historial clínico, resultados de laboratorio, información genética. Notificación obligatoria a titulares. Restricciones especiales de tratamiento.
Datos biométricos (Art. 16 ter) Características físicas o conductuales que permiten identificación única. Huella digital, reconocimiento facial, iris, voz. Notificación obligatoria a titulares.
Datos financieros Información económica o comercial del titular. Números de cuenta, historial crediticio, datos de facturación. Notificación obligatoria a titulares (Art. 14 sexies).
Datos de menores de 14 años Cualquier dato personal de niños, niñas o adolescentes. Registros escolares, datos de salud pediátricos, información familiar. Infracción gravísima (Art. 34 quáter). Factor agravante en multas (Art. 37).

Además de la categoría, el DPO debe estimar el volumen de titulares afectados y determinar si la filtración compromete una base de datos completa o un segmento acotado. Ambos factores inciden en la calificación del riesgo y en el contenido del reporte a la Agencia.

Evaluación del riesgo para los titulares

Determinar si existe un riesgo razonable para los derechos y libertades de las personas afectadas es una obligación del artículo 14 sexies. El DPO debe cruzar la naturaleza de los datos vulnerados con el volumen de registros y las consecuencias probables para decidir el curso de acción.

Un análisis de riesgos formal es la herramienta ideal para esta evaluación. Como alternativa, la siguiente matriz permite una clasificación rápida durante la contingencia:

Nivel Datos expuestos Volumen Impacto probable Acción requerida
Bajo Información pública o de contacto general. Grupo reducido. Molestias menores, spam. Registrar internamente. Evaluar si amerita reporte.
Medio Perfiles de consumo, geolocalización. Cientos de usuarios. Pérdida de confidencialidad, suplantación moderada. Notificar a la Agencia. Documentar contención.
Alto Datos sensibles, financieros o de menores. Miles de titulares o bases completas. Discriminación, fraude económico, daño reputacional severo. Notificar a la Agencia y directamente a los titulares afectados.

Si la evaluación arroja riesgo medio o alto, el DPO no debe esperar a completar la investigación forense para iniciar el proceso de notificación. La ley exige actuar sin dilaciones indebidas — postergar el reporte mientras se recopila información exhaustiva es, en sí mismo, un riesgo sancionable.

Contención técnica y medidas de mitigación

Una vez calificada la brecha, el objetivo inmediato es detener la vulneración y limitar su alcance. El responsable debe adoptar acciones técnicas para resguardar la confidencialidad e integridad de los registros comprometidos, cumpliendo el deber de seguridad del artículo 14 quinquies. Cada acción debe quedar registrada con marca de tiempo y responsable asignado.

Aislamiento de sistemas comprometidos

La contención sigue una secuencia específica. Alterar el orden puede destruir evidencia o ampliar el alcance de la brecha:

  1. Identificar el vector de ataque. Determinar cómo se produjo el acceso no autorizado: phishing, vulnerabilidad explotada, credenciales comprometidas, dispositivo perdido, error humano.
  2. Aislar sin apagar. Desconectar los equipos afectados de la red corporativa, pero no apagarlos. La memoria volátil puede contener evidencia forense que se pierde al cortar la energía.
  3. Revocar credenciales. Forzar el cambio de contraseñas de todas las cuentas con acceso a los sistemas comprometidos. Invalidar tokens de sesión y API keys expuestos.
  4. Bloquear la propagación. Segmentar la red para evitar movimiento lateral. Revisar si otros sistemas comparten credenciales o accesos con los equipos afectados.
  5. Activar respaldos. Restaurar servicios críticos desde copias de seguridad limpias, verificando que no estén contaminadas. El artículo 14 quinquies, literal c, exige la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida ante un incidente.

Contar con un plan de continuidad operativa previamente definido reduce el tiempo de respuesta y evita decisiones improvisadas bajo presión.

Evaluación de controles preexistentes

Inmediatamente después de contener la brecha, el DPO debe verificar qué controles técnicos estaban implementados sobre los datos afectados antes del incidente. Esta verificación tiene un impacto directo en la calificación del riesgo y en la responsabilidad de la organización.

El artículo 14 quinquies establece dos medidas específicas como garantías de seguridad proporcional:

  • Cifrado: Vuelve los archivos ilegibles sin la clave criptográfica correspondiente. Si los datos filtrados estaban cifrados, el impacto real de la brecha se reduce significativamente — y la organización puede argumentar que la exposición no genera riesgo razonable para los titulares.
  • Seudonimización: Separa la información identificatoria del registro principal. Los datos expuestos no pueden atribuirse a una persona específica sin información adicional que debe estar resguardada por separado.

Si los datos NO estaban cifrados ni seudonimizados, la situación se agrava en dos frentes: el riesgo para los titulares es mayor (lo que puede obligar a notificación directa) y la organización tiene más dificultad para demostrar que cumplía con el deber de seguridad antes del incidente. El DPO debe documentar esta ausencia y recomendar su implementación inmediata como medida correctiva.

Preservación de evidencia digital

Antes de restaurar sistemas o aplicar parches, el equipo de TI debe asegurar la evidencia del incidente. Sin esta trazabilidad, la organización pierde la capacidad de demostrar diligencia ante la Agencia y compromete cualquier investigación forense posterior.

Las acciones mínimas de preservación incluyen:

  • Captura de logs: Exportar y resguardar registros de acceso, autenticación, transferencia de archivos y eventos de red de los sistemas involucrados.
  • Imágenes forenses: Generar copias bit-a-bit de los discos comprometidos antes de cualquier intervención. Almacenar con hash de integridad (SHA-256) para garantizar su validez como evidencia operativa.
  • Cadena de custodia: Registrar quién accedió a la evidencia, cuándo y con qué propósito. Cualquier manipulación sin registro invalida la prueba ante una fiscalización.

Este paso no es un tecnicismo: el artículo 37 de la ley considera la cooperación con la autoridad y la evidencia de diligencia como factores atenuantes en la determinación de sanciones.

Respuesta en dispositivos: contención remota de endpoints

Cuando la filtración involucra dispositivos físicos — laptops, teléfonos corporativos o tabletas —, la contención de red no es suficiente. Un equipo perdido, robado o en manos de un ex empleado sigue almacenando datos personales y puede convertirse en un punto de exposición activo mientras no se intervenga directamente sobre él.

El DPO necesita capacidad de ejecución remota inmediata sobre esos endpoints. Sin una plataforma de control de dispositivos, las opciones se reducen a esperar la recuperación física — un lujo que la ley no concede.

Localización y recuperación de activos

El primer paso es determinar dónde está el equipo comprometido. Un sistema de geolocalización en tiempo real permite al equipo de TI:

  • Ubicar el dispositivo con precisión mediante GPS y triangulación Wi-Fi, sin depender de que el usuario final colabore.
  • Consultar el historial de ubicaciones para reconstruir la trazabilidad del equipo — cuándo salió del perímetro, por dónde transitó, dónde se encuentra ahora.
  • Activar alertas de geofencing si el dispositivo entra o sale de zonas definidas, lo que permite detectar movimientos sospechosos en tiempo real.

Esta información no solo facilita la recuperación: constituye evidencia documentable para el expediente del incidente y para el reporte a la Agencia.

Árbol de decisión para acciones remotas

No todas las situaciones requieren la misma respuesta. El DPO debe definir con TI y Legal qué acción ejecutar según el estado del dispositivo y el tipo de datos que almacena:

Escenario Acción recomendada Cuándo aplicarla
Recuperación viable (< 24h) Bloqueo de pantalla remoto. Impide el acceso al sistema operativo. Primera línea de defensa. Reversible.
Datos sensibles, ubicación incierta Cifrado de disco forzado. Activa cifrado completo a distancia. Cuando el bloqueo no garantiza protección suficiente del contenido.
Irrecuperable o exposición de alto riesgo Borrado remoto o factory reset. Elimina definitivamente la información. Última instancia. Irreversible. Requiere autorización de Legal.

La regla general es escalar: bloquear primero, cifrar si hay riesgo, borrar solo cuando no queda alternativa. Cada acción debe registrarse con timestamp en el expediente del incidente — la Agencia evaluará si la respuesta fue proporcional.

Detección de credenciales filtradas en la dark web

La contención de dispositivos resuelve la exposición física, pero muchas filtraciones incluyen credenciales corporativas que terminan circulando en mercados de la dark web. Si un atacante obtuvo usuarios y contraseñas, el riesgo persiste aunque el dispositivo esté bloqueado o borrado.

Un servicio de monitoreo de brechas que escanee continuamente la dark web en busca de credenciales corporativas complementa la respuesta del DPO en tres frentes:

  • Detección temprana: Identifica correos y contraseñas corporativas filtradas antes de que se usen para acceder a sistemas internos.
  • Priorización del riesgo: Clasifica cada hallazgo por severidad, permitiendo al comité de crisis dirigir esfuerzos hacia las credenciales más críticas.
  • Acción inmediata: Permite forzar el restablecimiento de contraseñas comprometidas y revocar accesos antes de que escale el incidente.

Este tipo de vigilancia no es solo una medida reactiva post-brecha. Integrarla como capacidad permanente dentro del modelo de prevención permite detectar exposiciones silenciosas que, sin monitoreo, solo se descubren cuando ya es demasiado tarde.

¿Tu organización puede localizar, bloquear y borrar un dispositivo comprometido en menos de 5 minutos? Solicita una demo de Prey y evalúa tu capacidad de respuesta.

Ejecución del deber de notificación

Una vez contenida la brecha y asegurada la evidencia, el DPO debe ejecutar las obligaciones de notificación que establece el artículo 14 sexies. Si necesitas revisar en detalle qué exige la ley en cada caso — plazos, contenido del reporte y criterios de notificación a titulares — consulta nuestra guía completa de notificación de brechas.

Esta sección se centra en cómo el DPO arma y ejecuta esas notificaciones con la información recopilada durante la respuesta al incidente.

Armado del informe para la Agencia

El informe técnico no se redacta desde cero en el momento de la notificación. Si el DPO ejecutó correctamente las fases anteriores, ya tiene el 80% del contenido:

Requisito del reporte De dónde sale (Origen de la información)
Naturaleza de la vulneración Clasificación realizada en la fase de detección (§2).
Categorías de datos comprometidos Tabla de clasificación de categorías de datos de especial protección (§2.1).
Número estimado de afectados Evaluación de riesgo y análisis de bases de datos de §2.2.
Medidas de contención ejecutadas Registro de acciones de §3 (aislamiento, revocación, respaldos).
Acciones sobre dispositivos Log de bloqueos, cifrados o borrados remotos ejecutados en §4.
Controles vigentes pre-incidente Evaluación de medidas técnicas preexistentes (§3.2).
Medidas correctivas propuestas Conclusiones preliminares y plan de acción del comité de crisis.
Contacto del DPO Datos del Delegado de Protección de Datos registrado ante la organización.

Recomendación de timing: Apuntar a enviar la notificación inicial dentro de las primeras 48 a 72 horas desde la confirmación de la brecha. La ley no fija un plazo numérico, pero este rango se alinea con estándares internacionales y demuestra diligencia ante una eventual fiscalización.

El DPO debe designar a un responsable de Legal para revisar el informe antes del envío. Un dato inexacto o una omisión en esta etapa puede convertirse en evidencia en contra durante un procedimiento sancionatorio.

Comunicación a los titulares afectados

Si la evaluación de riesgo arrojó nivel alto — datos sensibles, financieros o de menores —, la notificación directa a los titulares se ejecuta en paralelo al reporte a la Agencia.

El DPO debe coordinar con Comunicaciones un mensaje que cumpla tres criterios operativos:

  • Ser específico, no genérico. "Detectamos un acceso no autorizado a datos financieros de clientes" es útil. "Ocurrió un incidente de seguridad" no lo es.
  • Incluir acciones de autoprotección. Cambio de contraseñas, activación de 2FA, monitoreo de movimientos bancarios. El titular debe poder actuar con lo que recibe.
  • Ofrecer un canal de contacto real. Email del DPO o línea directa. No un formulario genérico de soporte ni una dirección no-reply.

El medio prioritario es la notificación individual (correo electrónico o carta). Solo cuando esto no sea técnicamente viable — por volumen o ausencia de datos de contacto — se recurre a difusión masiva. Cada comunicación enviada debe quedar registrada en el expediente con fecha, canal y confirmación de entrega.

La diferencia entre una organización que gestiona bien una brecha y una que enfrenta crisis reputacional suele estar en las primeras 24 horas de comunicación con los afectados.

Consecuencias legales: factores agravantes y atenuantes

El DPO debe informar a la alta dirección no solo sobre las multas posibles, sino sobre qué acciones mueven la aguja entre una sanción leve y una gravísima. La ley no solo castiga: también premia la diligencia.

Qué agrava la responsabilidad

El artículo 34 quáter tipifica como infracciones gravísimas — con multas de hasta 20.000 UTM — las siguientes conductas:

  • Omitir deliberadamente la notificación de una vulneración a la Agencia.
  • Que la brecha afecte datos de niños, niñas o adolescentes (letra e).
  • Tratar datos sensibles sin cumplir los requisitos del consentimiento.

Para empresas de mayor tamaño con reincidencia, la penalización puede elevarse hasta el 4% de los ingresos anuales totales (artículo 35). El impacto no es solo económico: una sanción pública deteriora la confianza de clientes, socios y reguladores.

Qué atenúa la responsabilidad

El artículo 37 establece factores que la Agencia debe considerar al calcular la sanción. Aquí es donde el trabajo previo del DPO se convierte en escudo legal:

Factor atenuante Cómo demostrarlo (Evidencia)
Medidas de seguridad previas Evidencia de cifrado, seudonimización y controles de acceso documentados en §3.2.
Cooperación con la autoridad Informe técnico completo y oportuno entregado según los protocolos de §5.1.
Rapidez y eficacia en la contención Cronología de acciones con marcas de tiempo (timestamps) del expediente de §1.2.
Comunicación transparente Registros de notificación individual y masiva documentados según §5.2.
Modelo de cumplimiento vigente Programa de cumplimiento certificado o en proceso activo de implementación.

El mensaje para la dirección es claro: invertir en prevención y documentación no es un gasto — es la diferencia entre una multa de 5.000 UTM y una de 20.000.

Post-incidente: cerrar el ciclo y fortalecer controles

La respuesta al incidente no termina con la notificación. La fase post-brecha es donde la organización transforma una crisis en mejora operativa — y donde demuestra que la infracción no se repetirá.

Evaluación de impacto post-brecha

El DPO debe conducir una nueva evaluación de impacto en protección de datos (DPIA) enfocada en los tratamientos que fueron afectados por la brecha. Esta evaluación debe responder tres preguntas:

  • ¿Los controles que fallaron eran proporcionales al riesgo que existía?
  • ¿La brecha expuso tratamientos que no estaban identificados en el inventario de datos?
  • ¿Las medidas correctivas implementadas durante la contención son suficientes o requieren refuerzo permanente?

Los hallazgos deben documentarse formalmente. Este documento es evidencia de mejora continua ante futuras fiscalizaciones.

Actualización de protocolos y controles

Con los resultados de la DPIA, el DPO debe proponer actualizaciones concretas al programa de cumplimiento:

  • Políticas de datos: Revisar y actualizar las políticas de retención, acceso y transferencia que resultaron insuficientes.
  • Controles técnicos: Implementar o reforzar cifrado, segmentación de red, monitoreo de endpoints y gestión de credenciales en los vectores que fueron explotados.
  • Capacitación: Si el vector fue error humano (phishing, dispositivo perdido, credenciales compartidas), ejecutar sesiones de concientización dirigidas al equipo involucrado.
  • Plan de respuesta: Incorporar las lecciones aprendidas al protocolo de crisis. Actualizar roles, plazos internos y árboles de decisión que mostraron fricción durante la respuesta.
  • Simulacros: Programar un ejercicio de respuesta a incidentes dentro de los 90 días posteriores para validar que las mejoras funcionan bajo presión.

Informe de cierre

El DPO debe producir un informe final de cierre que consolide: la cronología completa del incidente, las medidas adoptadas, los resultados de la DPIA post-brecha y el plan de mejora aprobado. Este documento cierra formalmente el expediente y queda como referencia ante la Agencia y como línea base para la preparación ante futuras brechas.

Conclusión: la respuesta a una filtración se define antes de que ocurra

Gestionar una filtración de datos personales bajo la Ley 21.719 no es un ejercicio de improvisación. Requiere un plan estructurado, roles definidos, capacidad técnica de ejecución remota y documentación rigurosa desde el minuto cero.

El DPO que llega al incidente con un comité de crisis activable, un inventario de datos actualizado y herramientas de control sobre su flota de dispositivos no solo contiene la brecha más rápido — genera la evidencia que atenúa sanciones y protege la reputación de la organización.

La pregunta no es si va a ocurrir una brecha. Es si tu equipo está preparado para responder dentro de los plazos, con los controles y con la trazabilidad que exige la ley.

Solicita una demo de Prey y evalúa si tu organización tiene la capacidad de respuesta que la normativa exige.

Preguntas frecuentes

¿Qué es una filtración de datos personales según la Ley 21.719?

Es cualquier vulneración a las medidas de seguridad que provoque destrucción, pérdida, filtración, alteración o acceso no autorizado a datos personales tratados por un responsable. No todo incidente técnico constituye una filtración: debe comprometer efectivamente datos personales y generar riesgo para los derechos de los titulares.

¿En cuánto tiempo debe notificarse una brecha a la Agencia de Protección de Datos?

La Ley 21.719 exige notificación "sin dilaciones indebidas" pero no fija un plazo numérico como el GDPR (72 horas). Se recomienda apuntar a las primeras 48 a 72 horas desde la confirmación de la brecha para demostrar diligencia.

¿Cuáles son las multas por no reportar una filtración de datos en Chile?

La omisión de notificación se tipifica como infracción gravísima con multas de hasta 20.000 UTM. En caso de reincidencia de empresas de mayor tamaño, la sanción puede alcanzar el 4% de los ingresos anuales totales.

¿Cuándo es obligatorio notificar directamente a los titulares afectados?

La notificación directa es obligatoria cuando la brecha compromete datos personales sensibles, información financiera o bancaria, o datos de niños, niñas o adolescentes menores de 14 años.

¿Qué debe hacer el DPO en las primeras horas después de detectar una filtración?

Activar el comité de crisis (TI, Legal, Comunicaciones), iniciar el registro formal del incidente, clasificar los datos comprometidos, ejecutar la contención técnica (aislamiento de sistemas, revocación de credenciales) y evaluar si la brecha es reportable según los criterios del artículo 14 sexies.

Sobre el mismo tema

Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719
Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719

Guía paso a paso para que el DPO gestione una filtración de datos personales según la Ley 21.719. Contención técnica, notificación a la Agencia y sanciones de hasta 20.000 UTM.

Apr 1, 2026
Continuar leyendo
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719

Guía práctica para DPO en Chile: implementa la Ley 21.719 paso a paso, gestiona riesgos, protege datos y demuestra cumplimiento con evidencia real.

Mar 26, 2026
Continuar leyendo
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile

Guía práctica para equipos de TI, Legal y Compliance: rol del DPO, responsabilidades, pasos para designarlo y qué evidencia preparar para auditoría en Chile.

Mar 26, 2026
Continuar leyendo