GESTIÓN DE BRECHAS · LEY 21.719 · CHILE

Gestión de Brechas de Datos Personales en Chile: protocolo 3h/72h Ley 21.719

Cuando ocurre una brecha de datos personales bajo la Ley 21.719, no tienes días — tienes horas. Por eso el protocolo de respuesta tiene que estar listo y entrenado antes del incidente. Diseñamos el protocolo legal 3h/72h, redactamos plantillas pre-aprobadas, capacitamos al equipo de respuesta del cliente y ejecutamos mesas de simulación periódicas. Cuando ocurra el incidente, tu equipo interno sabrá exactamente qué hacer y con qué documentos. Dos modalidades: proyecto de implementación inicial o integrado en DPO Virtual.

Protocolo 3h / 72h
📋 Plantillas pre-aprobadas
🎓 Capacitación + simulacros
🇨🇱 Chile
Solicitar diseño del protocolo → Ver DPO Virtual →
PROTOCOLO LEY 21.719

Los dos plazos que define la Ley de Datos Personales

La Ley 21.719 establece un protocolo de notificación en dos tiempos. La no notificación a tiempo es una infracción independiente del incidente original — convierte una brecha gestionable en una sanción gravísima.

3 h

Alerta temprana a la Agencia

Notificación inicial a la Agencia de Protección de Datos con la información disponible: hecho detectado, datos potencialmente afectados, hora del incidente. Es una alerta — no se exige aún el detalle completo.

72 h

Notificación completa

Reporte completo del incidente: alcance exacto, datos personales afectados, número de titulares, medidas de contención aplicadas, plan de remediación, comunicaciones a titulares (cuando corresponda).

Importante: los plazos corren desde que el responsable toma conocimiento de la brecha, no desde que ocurre el incidente técnico. Por eso la detección rápida es la primera línea de defensa.

METODOLOGÍA

Cómo gestionamos una brecha de datos personales en Chile

Cuatro fases. La fase 1 ya debe estar lista antes de que ocurra una brecha. Las fases 2-4 se ejecutan cuando se detecta el incidente.

FASE 1 · Preparación (PRE-BRECHA)

Protocolo + Capacitación + Simulacros

Esta fase se hace antes de que ocurra cualquier incidente:

  • Diseño del protocolo de gestión de brechas alineado a Ley 21.719
  • Plantillas pre-aprobadas: notificación inicial, notificación completa, comunicación a titulares, comunicado de prensa
  • Designación del equipo de respuesta (responsable, DPD, TI, legal, comunicaciones, dirección)
  • Capacitación al equipo y simulacros (mesas de crisis)
  • Configuración del workflow operativo en Confirmer360
FASE 2 · Contención (0–3h)

Detección + Triage + Alerta temprana

Las primeras 3 horas son críticas:

  • Confirmación de la brecha y registro formal de hora de detección
  • Contención técnica: aislar sistemas, revocar accesos, snapshots forenses
  • Triage de criticidad: ¿qué datos, cuántos titulares, riesgo para titulares?
  • Convocatoria del equipo de respuesta
  • Alerta temprana a la Agencia de Protección de Datos
FASE 3 · Notificación (3h–72h)

Investigación + Notificación completa + Comunicaciones

Las siguientes 69 horas:

  • Investigación forense para determinar alcance exacto y vector de ataque
  • Evaluación del riesgo para los titulares y decisión de comunicación a titulares
  • Redacción y envío de notificación completa a la Agencia
  • Comunicaciones a titulares afectados cuando corresponde
  • Comunicado interno y, si aplica, externo
  • Documentación de todo en Confirmer360 como evidencia auditable
FASE 4 · Post-incidente (semana 2+)

Lecciones aprendidas + Plan de mejoras

El cierre formal:

  • Informe de lecciones aprendidas con causa raíz
  • Plan de mejoras técnicas, organizacionales y de proceso
  • Actualización del protocolo y de la EIPD del tratamiento afectado
  • Capacitación correctiva al equipo
  • Defensa frente a eventual procedimiento sancionatorio (con alianza legal)
MODELOS DE ENTREGA

Tres formas de contratar gestión de brechas en Chile

Eliges según si ya tienes (o no) DPO Virtual contratado. Ambos modelos cubren el diseño del protocolo, las plantillas pre-aprobadas, la capacitación y las mesas de simulación. Lo que cambia es la frecuencia de actualización y la cadencia de simulacros.

Modelo 1 · Implementación inicial

Proyecto de implementación

Proyecto cerrado de 4 a 8 semanas: diseñamos el protocolo de respuesta 3h/72h, entregamos las plantillas pre-aprobadas (notificación a Agencia, comunicación a titulares, comunicado de prensa, comunicaciones internas), capacitamos al equipo de respuesta del cliente y ejecutamos una mesa de simulación inicial.

Ideal para: empresas que aún no tienen protocolo formal y quieren llegar listas al incidente. Una sola inversión, entregable claro.

Modelo 2 · Recomendado

Integrado en DPO Virtual

Si ya tienes DPO Virtual con Confiden360, la gestión de brechas (diseño, mantenimiento, simulacros y capacitación recurrente) está incluida en el servicio. Es el modelo más eficiente y predecible: protocolo siempre actualizado y simulacros anuales o semestrales según el plan.

Ideal para: organizaciones con cumplimiento operativo continuo. Es el modelo más recomendado.

Importante: Confiden360 entrega el protocolo, plantillas y capacitación para que tu equipo interno (DPD/DPO + TI + legal + comunicaciones) sepa qué hacer cuando ocurra el incidente. La ejecución operativa de la respuesta al incidente la realiza el equipo del cliente con su DPD/DPO. No ofrecemos servicio de respuesta reactiva por hora-brecha.

POR QUÉ ANTICIPARSE

El costo de improvisar una brecha

La diferencia entre una brecha bien gestionada y una mal gestionada no son las habilidades técnicas del equipo — es si tenían el protocolo listo antes. Tres factores que cambian el resultado:

1. Plazos legales no perdonan improvisación

Las 3 primeras horas no alcanzan para diseñar un protocolo, capacitar al equipo y notificar. Si no estaba listo, ya empezaste tarde. La notificación tardía es infracción independiente del incidente.

2. Diligencia debida demostrable atenúa sanciones

La Agencia mide cómo gestionaste la brecha, no solo que ocurrió. Con protocolo, EIPD y simulacros previos, puedes demostrar diligencia y mover la calificación de "gravísima" a "grave" — diferencia de millones en multa.

3. Daño reputacional se contiene con comunicación preparada

Si tienes comunicado a titulares y comunicado de prensa pre-aprobados, sales en 24 horas con un mensaje controlado. Si improvisas, sales en 5 días con mensaje fragmentado y la prensa te llena los huecos con especulación.

PREGUNTAS FRECUENTES

Sobre gestión de brechas de datos personales en Chile

¿Qué es una brecha de datos personales bajo la Ley 21.719?
Cualquier incidente que cause destrucción, pérdida, alteración o acceso no autorizado a datos personales. Incluye casos accidentales (email mal enviado, dispositivo perdido) e intencionales (ataque, exfiltración). Toda brecha debe evaluarse y, cuando corresponda, notificarse a la Agencia y a los titulares.
¿Cuál es el plazo para notificar una brecha en Chile?
Dos plazos: alerta temprana a la Agencia en menos de 3 horas desde que el responsable toma conocimiento. Notificación completa en menos de 72 horas. La no notificación a tiempo es infracción independiente del incidente.
¿Toda brecha se debe notificar?
No. La Ley 21.719 exige notificación cuando la brecha puede generar riesgo significativo para los derechos de los titulares. Una pérdida menor sin impacto material puede no requerir notificación pero sí registro interno. La evaluación de riesgo debe estar documentada.
¿Qué pasos sigue el protocolo cuando se detecta una brecha?
El protocolo que diseñamos para tu organización contempla 6 pasos que el equipo interno ejecuta: (1) no entrar en pánico ni borrar evidencia, (2) contener el incidente, (3) registrar hora y forma de detección, (4) convocar al DPO/DPD y al equipo de respuesta, (5) documentar todo, (6) ejecutar el flujo de notificación. Cada paso tiene una plantilla pre-aprobada lista para usar. Nuestro servicio entrega el protocolo, las plantillas y la capacitación; la ejecución operativa la lleva el equipo interno del cliente con su DPD/DPO.
¿Hacen simulacros de brecha?
Sí. Mesas de simulación (tabletop exercises) donde reproducimos un escenario realista y el equipo del cliente practica el protocolo. Identifica brechas de proceso antes de que ocurra una brecha real. Cadencia: 1-2 al año en organizaciones medianas, trimestral en organismos públicos y reguladas.
¿Cómo se relaciona la gestión de brechas con ISO 27001 y la EIPD?
ISO 27001 cubre los controles técnicos que reducen probabilidad de brecha (detección, prevención). La EIPD documenta riesgos y medidas de mitigación que reducen impacto cuando ocurre. La gestión de brechas opera cuando los dos anteriores no fueron suficientes. Los tres son complementarios y se diseñan juntos.
¿La defensa legal está incluida si la Agencia abre un procedimiento sancionatorio?
Coordinamos con nuestra alianza legal especializada para defensa frente a procedimientos sancionatorios. La preparación del protocolo y la capacitación las entregamos nosotros directamente; la representación legal específica la lleva el estudio aliado. Un solo proveedor, una sola conversación.
SERVICIOS RELACIONADOS

Gestión de brechas dentro del ciclo de cumplimiento Ley 21.719

La gestión de brechas opera cuando la prevención no fue suficiente. Estos son los servicios complementarios:

📋
Consultoría Ley de Datos Personales Implementación completa Ley 21.719 (incluye protocolo de brechas inicial)
👤
DPO Virtual Plan Gestionado incluye gestión de brechas como parte del servicio recurrente
⚖️
EIPD en Chile EIPD bien hecha reduce el impacto cuando ocurre una brecha
🛡️
ISO 27001 Controles técnicos del SGSI que reducen probabilidad y detectan rápido

¿Tu equipo tiene protocolo de brechas listo? ¿O lo armaría desde cero ante un incidente?

Agenda una reunión gratuita de 30 minutos. Diagnosticamos tu nivel de preparación ante brechas de datos personales y cotizamos el modelo (proyecto inicial o integrado en DPO Virtual) que mejor calza.

Agendar reunión gratuita → Prefiero escribir por WhatsApp →
Hablar con asesor