Notificación de brechas a la APDP
Resumen. El artículo 14 sexies de la Ley 21.719 obliga al responsable del tratamiento a notificar a la Agencia de Protección de Datos Personales —y, en ciertos casos, al titular afectado— cuando ocurra una brecha de seguridad que tenga probabilidad razonable de generar riesgo significativo o alto para los derechos de las personas. Esta guía describe el umbral, el contenido, el plazo y el registro interno que la organización debe mantener para sostener su decisión ante una eventual auditoría de la APDP.
Qué es una brecha de seguridad
La Ley 21.719 entiende por brecha de seguridad cualquier incidente que comprometa la confidencialidad, la integridad o la disponibilidad de datos personales tratados por la organización. Tres categorías típicas:
- Pérdida de confidencialidad. Acceso no autorizado a una base de datos, robo de un computador con información personal, envío erróneo a un destinatario externo.
- Pérdida de integridad. Modificación o corrupción de datos personales por error humano, falla técnica o ataque.
- Pérdida de disponibilidad. Cifrado por ransomware, eliminación accidental sin respaldo, falla prolongada que impide al titular ejercer sus derechos.
No toda brecha desencadena notificación. El criterio es la magnitud del riesgo para los derechos del titular.
Cuándo notificar
El artículo 14 sexies estructura la obligación en dos niveles:
Notificación a la APDP
Procede cuando la brecha tenga probabilidad razonable de generar un riesgo significativo para los derechos del titular. Tres factores guían la evaluación:
- Naturaleza de los datos. Datos sensibles —salud, biométricos, financieros, infantiles— elevan el riesgo. Datos básicos de contacto pesan menos.
- Volumen y alcance. Mil registros expuestos pesan más que diez. Si la brecha alcanza a personas en situación de vulnerabilidad, el riesgo crece.
- Posibilidad de identificación. Si los datos comprometidos permiten identificar al titular, el riesgo es mayor que si están seudonimizados o cifrados.
Notificación al titular
Procede cuando la brecha tenga probabilidad razonable de generar un riesgo alto —no solo significativo— para los derechos del titular. El umbral es más exigente porque la notificación directa tiene costo reputacional y psicológico, y la ley evita ese costo cuando no añade protección real.
Cuando el responsable ya adoptó medidas técnicas que neutralizan el riesgo —cifrado robusto, datos seudonimizados de forma irreversible— puede quedar exento de notificar al titular, conservando registro interno del análisis.
El plazo
La notificación a la APDP debe enviarse lo antes posible desde el momento en que el responsable toma conocimiento de la brecha. El plazo concreto del régimen chileno apunta a setenta y dos horas, alineado con la práctica internacional (Reglamento General de Protección de Datos europeo). Cuando la notificación no pueda enviarse en ese plazo por razones justificadas, el responsable acompaña explicación.
La notificación al titular afectado, cuando proceda, sale sin demora indebida. La práctica recomendada es coordinar la notificación a la APDP y al titular para que coincidan o estén separadas por días, no por semanas.
El reloj del plazo parte cuando la organización "toma conocimiento": el momento en que un funcionario con responsabilidad sobre el tratamiento conoce los hechos básicos de la brecha. No espera al cierre forense del incidente.
Contenido de la notificación
La notificación a la APDP describe:
- La naturaleza de la brecha. Qué ocurrió, cuándo, cómo.
- Las categorías y cantidad de titulares afectados (aproximada cuando aún no se conoce el número exacto).
- Las categorías y cantidad de registros de datos personales comprometidos.
- Las medidas adoptadas y propuestas para contener la brecha y mitigar el efecto sobre los titulares.
- El nombre y datos de contacto del Delegado de Protección de Datos o del responsable, cuando no exista DPO.
- Las consecuencias probables de la brecha.
La notificación al titular, cuando proceda, sale en lenguaje claro y accesible, sin tecnicismos. Contiene:
- Descripción de qué ocurrió y qué datos quedaron comprometidos.
- Consecuencias probables para el titular.
- Medidas adoptadas por la organización.
- Recomendaciones para el titular —cambio de contraseñas, vigilancia de movimientos bancarios, otras según el caso.
- Datos de contacto para reclamos o consultas.
El registro interno
Aun cuando la brecha no llega al umbral de notificación, el responsable debe mantener registro interno. La APDP, en una eventual auditoría, pide el inventario completo de brechas detectadas y la justificación de las decisiones de no notificar.
El registro mínimo contiene:
- Fecha y hora de detección.
- Descripción del incidente.
- Datos personales comprometidos.
- Análisis del nivel de riesgo —significativo, alto, no aplica.
- Decisión adoptada y fundamento.
- Medidas técnicas de contención.
- Resultado final.
Conservación recomendada: al menos cinco años desde el cierre del incidente.
Errores frecuentes
La curva GDPR europea muestra los errores que las autoridades sancionan con más frecuencia, aplicables al contexto chileno:
- Notificación tardía. El reloj corre desde el momento de conocimiento, no desde el cierre forense. Esperar a tener un informe completo antes de notificar suele superar el plazo.
- Notificación incompleta. El responsable comunica el incidente pero omite categorías de datos comprometidos o número aproximado de afectados. La APDP pide complemento; mientras tanto la organización queda en situación irregular.
- No notificar al titular cuando corresponde. La organización notifica a la APDP pero evita comunicar a los afectados. Si el riesgo era alto, la omisión configura infracción separada.
- Notificación sobreabundante. Notificar todo —incluso brechas de bajo riesgo— sobrecarga a la APDP y al titular y diluye la señal. Evalúe primero, notifique después.
- Sin registro interno. La organización gestionó el incidente correctamente pero no documentó la decisión. La auditoría posterior trata la falta de registro como infracción autónoma.
La conexión con el canal de denuncias
Una brecha de seguridad de datos personales suele detectarse por dos vías: monitoreo técnico interno o reporte de un trabajador, cliente o tercero. La segunda vía cruza el canal de denuncias: alguien observa la fuga de datos o el acceso no autorizado y lo reporta.
Un canal de denuncias técnicamente robusto preserva la cadena de evidencia del reporte inicial, lo que sirve a dos propósitos: contener la brecha rápido y documentar la cronología del conocimiento para sustentar el momento desde el cual corre el plazo de notificación. Para el panorama legal completo bajo Ley 21.719, revise la guía de derechos ARCO 2026.
Preguntas frecuentes
¿Toda brecha de datos debe notificarse a la APDP? No. Solo las que tengan probabilidad razonable de generar riesgo significativo para los derechos del titular. Las demás se registran internamente.
¿En qué plazo se notifica? Lo antes posible desde el momento de conocimiento, con referencia a setenta y dos horas como ventana operativa. La notificación al titular sale sin demora indebida cuando el riesgo es alto.
¿Quién es el responsable de notificar? El responsable del tratamiento, a través del Delegado de Protección de Datos cuando exista. En organizaciones sin DPO, el responsable institucional designado.
¿Qué pasa si descubrimos la brecha tarde? El plazo cuenta desde el conocimiento, no desde la ocurrencia. Si la detección fue tardía, documente el momento del conocimiento; eso fija el inicio del plazo de notificación.
¿La APDP sanciona toda notificación tardía? La sanción depende de la magnitud del retraso y de las medidas adoptadas. Una notificación demorada pero acompañada de evidencia de contención efectiva pesa menos que una omisión completa.
¿Cómo se conserva el registro de brechas? En un sistema accesible para auditoría, con cinco años de conservación como mínimo. El sistema debe ser inmutable —no permite borrar entradas anteriores— y trazable.
¿La Ley 21.719 se aplica a Pymes desde el 1 de diciembre de 2026? Sí. Durante los primeros doce meses (hasta el 1 de diciembre de 2027), las infracciones de Pymes se sancionan solo con amonestación escrita. Eso aplica también a la obligación de notificación.
Fuentes citadas
- BCN — Ley N° 21.719 sobre Protección de Datos Personales, artículo 14 sexies.
- Comisión Europea — guidelines on personal data breach notification under GDPR (referencia comparativa).
Este artículo orienta de manera general y no constituye asesoría legal. Para una conversación sobre el procedimiento de notificación de brechas en su organización, contáctenos o revise la guía completa sobre Ley 21.719.
Última revisión: 6 de junio de 2026 · Equipo Legal Anguita Osorio Abogados
