🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Ley 21.179: Guía para la notificación de brechas de datos personales

juanhernandez@preyhq.com
Juan H.
Mar 6, 2026
0 minutos de lectura
Ley 21.179: Guía para la notificación de brechas de datos personales
Tabla de Contenidos
Heading H2
¿Dispositivos perdidos? Recupera el control total
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La entrada en vigencia de la Ley 21.719 para diciembre de 2026 transforma la gestión de brechas de datos personales en una obligación de cumplimiento crítico para cualquier organización que trate información de terceros.

Implementar un sistema de notificación robusto no solo permite cumplir con este marco legal, sino también alinearse con las exigencias de notificación de incidentes de ciberseguridad establecidas en la Ley Marco de Ciberseguridad (21.663), donde la capacidad de reacción, la documentación y la evidencia se vuelven centrales.

Si bien actualmente no existe un instructivo específico publicado por la autoridad chilena, la lógica de la ley es consistente con el estándar europeo. Por ello, resulta razonable adoptar como referencia las buenas prácticas del GDPR y los criterios operativos de la Agencia Española de Protección de Datos (AEPD) como marco defendible mientras se publican guías locales.

En esta guía encontrarás un enfoque práctico para evaluar, documentar y notificar brechas de datos personales, utilizando estándares internacionales adaptados al contexto chileno.

Qué es una brecha de datos personales y en qué se diferencia de un incidente

Partamos por una premisa fundamental: incidente ≠ brecha

La Ley 21.719 define una brecha de datos personales como cualquier suceso que provoque la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales bajo custodia. Sin embargo, no todo incidente de seguridad califica como una brecha. Mientras que un incidente técnico puede afectar la continuidad operativa sin comprometer la información personal, una brecha de datos impacta directamente en la privacidad y los derechos de las personas.

Esta distinción es central para el cumplimiento normativo, ya que la obligación de notificar no depende de la existencia de un incidente técnico, sino de la exposición efectiva o potencial de datos personales.

Respecto a su alcance territorial, las obligaciones de la norma se aplican a todo responsable establecido en Chile, así como a entidades extranjeras que realicen actividades de tratamiento sobre datos de titulares residentes en el país.

Diferencia entre la Ley 21.663 y la Ley 21.719 en la gestión de incidentes

Aunque ambas normas abordan la gestión de eventos de seguridad, su enfoque es distinto y complementario.

La Ley Marco de Ciberseguridad (21.663) estipula la obligación de reportar incidentes y regula su notificación cuando afectan la seguridad de los sistemas, la continuidad operacional y la disponibilidad de los servicios. Su preocupación principal es el impacto técnico y sistémico que un evento puede tener en la organización o en servicios críticos.

En cambio, la Ley de protección de datos (21.719) se centra en la notificación de brechas de datos personales, es decir, en aquellos eventos que implican exposición, pérdida o acceso no autorizado a información que identifica o puede identificar a una persona. Aquí el eje no es el sistema, sino el riesgo para los derechos de los titulares.

En la práctica, un mismo evento puede activar obligaciones bajo ambas normas. Por ejemplo, un ransomware puede constituir un incidente de ciberseguridad que debe reportarse bajo la Ley 21.663 y, al mismo tiempo, una brecha de datos personales si existe compromiso de información.

Comprender esta diferencia es clave, ya que la decisión de notificar bajo la Ley 21.719 no depende de la gravedad técnica del incidente, sino del impacto potencial sobre las personas.

Cómo gestionar una brecha de datos personales: proceso paso a paso

La notificación de brechas no es un evento aislado, sino el resultado de un proceso operativo que comienza mucho antes del reporte a la autoridad. La Ley  exige capacidad de reacción, pero sobre todo capacidad de demostrar qué ocurrió, qué se hizo y en qué plazos.

En la práctica, la gestión de brechas sigue un flujo estructurado que permite transformar un incidente técnico en una evaluación de riesgo documentada. Este proceso conecta equipos de TI, seguridad, legal y cumplimiento y constituye la base para una notificación consistente y defendible.

De forma general, una organización debería operar bajo las siguientes etapas:

  • Detección: Identificación del evento mediante alertas de seguridad, reportes internos, monitoreo de endpoints, sistemas de acceso o notificaciones de terceros. En esta fase el objetivo es confirmar que existe una anomalía que podría afectar datos personales.
  • Contención: Acciones inmediatas para limitar el alcance del incidente, como aislar dispositivos, revocar accesos, bloquear credenciales, detener integraciones o aplicar medidas de emergencia. La velocidad de esta etapa es determinante para reducir el impacto y la obligación posterior de notificar.
  • Evaluación: Análisis para determinar si el evento constituye una brecha de datos personales, qué información está involucrada, cuántos titulares podrían verse afectados y cuál es el riesgo potencial para sus derechos.
  • Decisión de notificación: Con base en la evaluación de riesgo, la organización determina si corresponde informar a la Agencia de Protección de Datos Personales y, en su caso, a los titulares.
  • Notificación: Elaboración y envío del reporte a la autoridad y a los afectados, cuando corresponda, incluyendo la descripción del incidente, sus efectos y las medidas adoptadas.
  • Registro y mejora: Documentación completa del incidente, incluso cuando no se notifique, para efectos de trazabilidad, auditoría y mejora continua de los controles.

Este enfoque operativo refleja una idea central del nuevo marco regulatorio: la notificación no es el inicio del proceso, sino el resultado de una evaluación documentada.

Cuándo una brecha debe notificarse

La Ley 21.719 no exige notificar todas las brechas, sino aquellas que generen un riesgo razonable para los derechos y libertades de las personas. En consecuencia, la decisión de notificar depende menos del incidente técnico en sí y más de su impacto potencial sobre los titulares.

La evaluación debe realizarse de forma documentada y considerando múltiples factores. Entre los principales criterios se encuentran:

  • Tipo de datos afectados: No es equivalente la exposición de datos básicos que la de datos sensibles, financieros, de salud o información de menores.
  • Volumen de titulares: A mayor número de personas comprometidas, mayor probabilidad de riesgo.
  • Facilidad de identificación: Datos que permiten identificar directamente a una persona elevan el nivel de riesgo.
  • Circunstancias del incidente: Acceso externo, exfiltración confirmada o publicación aumentan la probabilidad de impacto.
  • Medidas de protección existentes: Cifrado, seudonimización, contenedores MDM o controles de acceso robustos pueden reducir significativamente el riesgo.

Bajo esta lógica, la notificación suele ser necesaria cuando existe una probabilidad razonable de que el incidente derive en fraude, suplantación de identidad, discriminación, pérdida económica, daño reputacional u otras afectaciones relevantes para los titulares.

Por el contrario, puede no ser necesario notificar cuando la organización puede demostrar que el riesgo es bajo o improbable. Esto puede ocurrir, por ejemplo, cuando los datos estaban cifrados de forma efectiva, el acceso fue contenido de manera inmediata o las medidas técnicas impiden que terceros utilicen la información.

Un principio clave del estándar internacional —y que probablemente seguirá la práctica chilena— es que no todas las brechas se notifican, pero todas deben evaluarse y registrarse. La decisión de notificar debe poder justificarse posteriormente ante la autoridad, lo que convierte a la evaluación de riesgo en el elemento central del proceso.

En este contexto, la capacidad de demostrar contención y mitigación no solo reduce el impacto del incidente, sino que puede modificar la obligación de notificar. La notificación deja de ser una reacción automática y pasa a ser una decisión basada en evidencia.

El deber de reporte ante la Agencia de Protección de Datos Personales

El artículo 14 sexies de la Ley 21.719 establece que los responsables deben informar a la Agencia de Protección de Datos Personales sobre cualquier vulneración de seguridad que genere un riesgo razonable para los derechos de los titulares. La Agencia, como corporación autónoma de derecho público y técnica, actúa como el ente fiscalizador superior encargado de vigilar el tratamiento lícito de la información. En su rol de receptor, este organismo procesa las notificaciones para supervisar las medidas correctivas y prevenir perjuicios sistémicos a la privacidad.

Aunque la Ley 21.719 no establece plazos operativos detallados para la notificación de brechas, resulta útil combinar las referencias de la Ley Marco de Ciberseguridad (21.663) con el estándar del GDPR, que define plazos específicos para la notificación de brechas de datos personales.

Etapa de Notificación Referencia - Ley 21.663 Referencia GDPR Objetivo del reporte
Alerta temprana Hasta 3 horas No definido explícito Informar a la autoridad el conocimiento inicial del evento y activar respuesta interna.
Actualización inicial Hasta 24 horas Sin plazo específico Entregar primeros antecedentes y confirmar alcance preliminar.
Evaluación / notificación Hasta 72 horas (evaluación inicial) Hasta 72 horas para notificar a la autoridad Determinar riesgo para titulares y, si corresponde, notificar la brecha.
Informe final Hasta 15 días Sin plazo fijo (se permiten actualizaciones posteriores) Entregar análisis completo, causas raíz y medidas correctivas.

Contenido esencial del reporte a la autoridad

El reporte dirigido a la Agencia debe estructurarse de forma técnica y precisa para permitir una evaluación objetiva del incidente. La rigurosidad en la entrega de estos datos es determinante, ya que facilita la coordinación con la autoridad y reduce la exposición a sanciones por notificaciones incompletas. El documento debe presentar los hechos de manera transparente, permitiendo trazar el origen, el alcance y las soluciones aplicadas.

La ley establece la obligación de entregar información suficiente sobre la brecha; los siguientes elementos corresponden a buenas prácticas alineadas con estándares internacionales.

  • Naturaleza y efectos: Una descripción detallada de la vulneración sufrida, especificando si se trata de filtración, pérdida o acceso no autorizado, junto con un análisis de los efectos previstos sobre la privacidad de los afectados.
  • Cuantificación y categorización: La determinación del número aproximado de titulares comprometidos y la clasificación del tipo de datos involucrados, identificando si existen categorías especiales o datos sensibles.
  • Plan de respuesta: El detalle pormenorizado de las medidas técnicas y organizativas adoptadas para gestionar el incidente en curso, así como las acciones implementadas, en las que la evidencia operativa juega un papel importante para mitigar riesgos y precaver eventos futuros.

Notificación obligatoria a los titulares de datos

La Ley 21.719 establece un estándar de transparencia directa cuando la vulnerabilidad compromete la esfera más íntima o económica de las personas. El responsable no solo debe informar a la autoridad, sino también garantizar que el titular comprenda el alcance del incidente para que pueda tomar medidas de resguardo personales.

La comunicación resulta especialmente necesaria cuando se trata de un derecho del ciudadano y de una obligación administrativa crítica para el cumplimiento corporativo.

Para asegurar una comunicación efectiva y legal, el reporte dirigido a los titulares debe cumplir con los siguientes criterios:

  • Casos de notificación forzosa: La comunicación es obligatoria siempre que la brecha afecte a datos personales sensibles, información relativa a niños y niñas menores de catorce años, o datos sobre obligaciones financieras, bancarias y comerciales.
  • Requisitos de forma: El mensaje debe redactarse en un lenguaje claro y sencillo, identificando específicamente los datos comprometidos, las posibles consecuencias del incidente y las medidas de solución o apoyo adoptadas por la entidad.
  • Canales de comunicación: El procedimiento exige la notificación individual a cada afectado; si esto no fuera técnicamente posible, se debe recurrir a la difusión masiva mediante avisos en medios de comunicación social de alcance nacional.

Régimen de infracciones y multas por omisión de reporte

La omisión de notificar puede constituir una infracción grave o gravísima dentro del régimen sancionatorio de la ley, cuya determinación específica dependerá de la evaluación de la autoridad.

Multas parten desde los 10.000 a 20.000 UTM

La Agencia tiene la facultad de determinar la gravedad de la infracción y aplicar sanciones que pueden ir desde amonestaciones hasta multas relevantes, incluidas porcentajes sobre los ingresos anuales en los casos más severos.

En términos generales, la omisión de reporte suele evaluarse considerando:

  • Gravedad del evento: naturaleza de los datos, volumen de afectados y riesgo para los titulares.
  • Conducta de la organización: si existió diligencia, contención o documentación del incidente.
  • Intencionalidad o negligencia: ocultamiento deliberado, retrasos injustificados o ausencia de controles.
  • Reincidencia: historial previo de incumplimientos.

Notificar depende de poder demostrar

La entrada en vigencia de la Ley 21.719 marca un cambio relevante en la gestión de brechas de datos personales: ya no basta con reaccionar ante incidentes, sino que las organizaciones deben poder demostrar cómo evaluaron el evento, qué medidas implementaron y por qué tomaron la decisión de notificar o no a la autoridad y a los titulares.

En este contexto, los sistemas de notificación dejan de ser un procedimiento administrativo y pasan a ser un mecanismo de aprendizaje y mejora continua. Cada brecha documentada permite fortalecer los controles, ajustar los procesos y reducir la exposición futura, transformando la respuesta a incidentes en una fuente de inteligencia operativa.

Prepararse para este escenario implica contar con capacidades que van más allá de la detección técnica: inventario actualizado de dispositivos, visibilidad sobre los accesos a datos, capacidad de contención inmediata y evidencia verificable de las acciones ejecutadas. La notificación, en la práctica, depende de la calidad de esa información.

En definitiva, la gestión de brechas bajo la Ley 21.719 no se trata únicamente de cumplir con una obligación legal, sino de construir una capacidad organizacional para responder, explicar y demostrar el control sobre los datos personales que la organización administra.

Frequently asked questions

No items found.

Sobre el mismo tema

Ley 21.179: Guía para la notificación de brechas de datos personales
Ley 21.179: Guía para la notificación de brechas de datos personales

Guía de notificación de brechas de datos personales para cumplir con la Ley 21.79

Mar 6, 2026
Continuar leyendo
Ley de protección de datos en Chile (Ley 21.719): guía y cómo cumplir
Ley de protección de datos en Chile (Ley 21.719): guía y cómo cumplir

Todo sobre la Ley de protección de datos en Chile (21.719): alcance, roles, medidas de seguridad, multas y pasos concretos para cumplir en tu organización.

Feb 26, 2026
Continuar leyendo
Ley de ciberseguridad en Chile (Ley 21.663): requisitos y cómo cumplir
Ley de ciberseguridad en Chile (Ley 21.663): requisitos y cómo cumplir

Conoce qué exige la Ley 21.663 (Ley Marco de Ciberseguridad) en Chile: a quién aplica, obligaciones clave, evidencia mínima y una hoja de ruta 30/60/90 días para empezar a cumplir.

Feb 26, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar