Ley 21.719: ¿Estás preparado para notificar una brecha de seguridad?

En nuestro artículo anterior, revisamos los principales cambios que introduce la Ley Marco de Ciberseguridad Nº 21.663 y cómo estos impactarán a las organizaciones que la ANCI (Agencia Nacional de Ciberseguridad) califique como Operadores de Importancia Vital (OIV). Estas entidades deberán fortalecer su gestión interna, definiendo procesos y protocolos claros para responder ante brechas de seguridad.

Hoy, esta discusión se vuelve aún más relevante con la próxima entrada en vigencia de la Ley N° 21.719, que moderniza la normativa chilena sobre protección de datos personales, reemplazando la antigua Ley N° 19.628. Esta nueva ley no solo crea una institucionalidad robusta, sino que también establece obligaciones concretas para todas las organizaciones que traten datos personales.

Uno de los ejes centrales —y también uno de los más desafiantes— es la obligación de notificar las brechas de seguridad que puedan poner en riesgo los datos personales. Comprender esta exigencia y prepararse adecuadamente no es sólo es una cuestión de cumplimiento legal sino que, además, constituye un paso clave para fortalecer la confianza digital.

Desde Datlia, queremos impulsar y promover este conocimiento, apoyando a las organizaciones en su proceso de adaptación a este nuevo escenario normativo.

¿Qué es una brecha de seguridad en Datos Personales?

La ley define la brecha de seguridad como cualquier incidente que comprometa la seguridad de los datos personales, afectando su confidencialidad, integridad o disponibilidad. Es decir, cualquier situación que ponga en riesgo el resguardo adecuado de la información de las personas.

Estos incidentes pueden adoptar distintas formas, tales como:

• Accesos no autorizados a bases de datos o sistemas que contienen datos personales

• Filtraciones o fugas de información

• Pérdida o robo de dispositivos con información almacenada (laptops, discos duros, pendrives, etc.)

• Ciberataques (ransomware, phishing, malware)

• Eliminación accidental de datos críticos

¿Qué exige la ley frente a una brecha de seguridad en Datos Personales?

El Responsable del Tratamiento deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.

La notificación debe incluir:

• Descripción de la naturaleza de las vulneraciones sufridas

• Categorías de datos personales afectados

• Número aproximado de titulares afectados

• Efectos y consecuencias posibles para los titulares

• Medidas adoptadas o planificadas para gestionar y mitigar los efectos y precaver incidentes futuros

• Información de contacto del DPD o encargado interno

Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el Responsable deberá también efectuar esta comunicación a los titulares de estos datos, a través de sus representantes, cuando corresponda.

Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.

¿Y si no se cumple?

La Ley N°21.719 establece un régimen sancionatorio progresivo, y omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies constituye una infracción grave cuyas multas pueden alcanzar las 10.000 UTM, especialmente cuando exista negligencia en la gestión de la seguridad.

Pero más allá de la sanción económica, los riesgos reputacionales, contractuales y regulatorios pueden ser aún más graves.

¿Cómo prepararse desde ya?

Para cumplir adecuadamente con la Ley N° 21.719 y reducir el impacto de una eventual brecha de seguridad, recomendamos implementar las siguientes medidas clave:

1. Diagnóstico de riesgos

Evalúa los flujos de datos personales dentro de la organización, los sistemas que los almacenan y procesan, y los puntos más vulnerables.

También es fundamental identificar a los actores clave involucrados en la gestión de datos y revisar las medidas de seguridad ya existentes.

2. Diseñar un protocolo de gestión de brechas de seguridad

Contar con un documento interno que establezca:

• Roles y responsables frente a incidentes

• Flujos de comunicación y escalamiento

• Procedimientos para el análisis de impacto

• Modelos de notificación tanto para la autoridad como para los titulares afectados

3. Ejecutar simulacros y capacitar equipos

No basta con tener un protocolo: hay que ponerlo a prueba.

Realiza simulacros periódicos y capacita a los equipos clave para que sepan cómo actuar ante un incidente real, bajo presión y con tiempos acotados.

4. Integrar el plan de respuesta con la estrategia de ciberseguridad

Asegura la coherencia entre tu plan de cumplimiento de la Ley 21.719 y las obligaciones establecidas por la Ley 21.663 (Ley Marco de Ciberseguridad), especialmente si es probable que tu organización pueda ser calificada como Operador de Importancia Vital (OIV). Esto permitirá una respuesta coordinada y eficiente ante incidentes.

Conclusión

Cumplir con la Ley N° 21.719 va mucho más allá de evitar sanciones: es una oportunidad para fortalecer la cultura organizacional en torno a la protección de datos y construir relaciones de confianza con clientes, colaboradores y socios.

Una empresa que responde con transparencia, agilidad y responsabilidad ante una brecha no sólo reduce su exposición y cumple con la ley, sino que también protege su reputación, asegura la continuidad de sus operaciones y refuerza su ventaja competitiva.

La pregunta no es si tu organización enfrentará una brecha de seguridad, sino cuándo ocurrirá y cuán preparada estará para responder a tiempo y de forma efectiva.

En Datlia, acompañamos a organizaciones públicas y privadas en este proceso: desde la evaluación de riesgos hasta la implementación de protocolos, entrenamiento de equipos y diseño de planes integrales de respuesta a incidentes, ayudando a las empresas a establecer una cultura de protección de datos proactiva y resiliente.

Conversemos sobre cómo adaptar este modelo a las necesidades de tu organización.