Notificación de Brecha de Datos a la APDP
Genera la notificación formal de vulneración de seguridad que tu empresa debe enviar a la Agencia de Protección de Datos según el Art. 14 sexies de la Ley 21.719. La ley exige actuar sin dilaciones indebidas.
Sobre el mito de las "72 horas"
Muchos blogs y guías informales afirman que la Ley 21.719 obliga a notificar a la APDP dentro de 72 horas. Eso es incorrecto. Las 72 horas son el plazo del Art. 33 del RGPD europeo. La Ley chilena (Art. 14 sexies) usa la fórmula "por los medios más expeditos posibles y sin dilaciones indebidas". Lo razonable es notificar tan pronto se confirme una vulneración significativa, evaluado el alcance básico. La omisión deliberada se sanciona como infracción gravísima (Art. 34 quáter letra f).
Identificación del responsable
Datos del responsable que comunica la vulneración a la Agencia.
Completa la razón social para continuar
¿Qué es una "vulneración a las medidas de seguridad"?
El Art. 14 sexies inc. 1° define una vulneración como "toda destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que se traten, o la comunicación o acceso no autorizados a dichos datos". La ley chilena usa el término técnico "vulneración a las medidas de seguridad", no "brecha" (que es traducción del inglés data breach). Ambas expresiones se usan coloquialmente, pero al notificar formalmente conviene usar la terminología legal.
¿Cuándo se debe notificar?
El Art. 14 sexies activa la obligación de notificar a la Agencia cuando exista un riesgo razonable para los derechos y libertades de los titulares. No toda incidencia menor genera la obligación: lo que importa es la potencialidad de daño. Para datos sensibles, datos de niños y niñas menores de 14 años o datos económicos/financieros/bancarios/comerciales, además se debe notificar a los titulares afectados (Art. 14 sexies inc. 3°).
¿Qué debe contener la notificación?
El Art. 14 sexies enumera el contenido mínimo que debe registrarse y comunicarse:
- Naturaleza de las vulneraciones sufridas — qué pasó técnicamente.
- Sus efectos — qué consecuencias para los titulares.
- Categorías de datos comprometidos — qué tipos de datos se vieron afectados.
- Número aproximado de titulares afectados.
- Medidas adoptadas para gestionarlas y precaver incidentes futuros — qué hizo la empresa para contener y aprender.
¿Existe canal oficial de la APDP a 2026?
No, todavía no. La Agencia de Protección de Datos Personales se constituirá formalmente con la entrada en vigencia plena de la Ley 21.719 el 1 de diciembre de 2026. La designación del Consejo Directivo —modificada por la Ley N° 21.806 (publicada el 5 de febrero de 2026)— debe ocurrir antes del 1 de junio de 2026. Hasta que la APDP publique su canal oficial de recepción, la notificación generada con esta herramienta queda preparada para enviarse en el formato que se requiera.
Después de notificar a la APDP
- Si la vulneración implica datos sensibles, datos de niños/niñas menores de 14 o datos económico-financieros, notifica a los titulares afectados (Art. 14 sexies inc. 3°).
- Genera tu Protocolo de Vulneraciones para registrar todo el incidente y demostrar diligencia.
- Documenta el incidente en tu Registro de Tratamiento (Art. 14 quinquies).
- Estima la exposición sancionatoria con la calculadora de multas para preparar tu estrategia de mitigación.
Aviso. La plantilla generada se basa en el contenido mínimo del Art. 14 sexies de la Ley N° 21.719. No constituye asesoría legal. Ante una vulneración real, te recomendamos asesorarte con un abogado especializado en protección de datos, especialmente si involucra datos sensibles o un volumen alto de afectados. El email de la APDP se actualizará una vez que la Agencia publique sus canales oficiales (esperable hacia el 4° trimestre de 2026).
Preguntas frecuentes
¿Cuál es el plazo legal para notificar a la APDP en Chile? ¿Son 72 horas?
No. El Art. 14 sexies de la Ley N° 21.719 exige notificar "por los medios más expeditos posibles y sin dilaciones indebidas" — no establece un plazo numérico de 72 horas. Ese plazo proviene del RGPD europeo (Art. 33) y se traslada incorrectamente en muchos blogs comparativos. En Chile lo que se exige es razonabilidad: notificar tan pronto se confirme una vulneración significativa, una vez evaluado el alcance básico. Si la situación demora más de lo razonable sin justificación, se configura "dilación indebida" y, si la omisión es deliberada, infracción gravísima (Art. 34 quáter letra f).
¿Cuándo es obligatoria la notificación?
El Art. 14 sexies se activa cuando "exista un riesgo razonable para los derechos y libertades de los titulares". Una vulneración menor que no implica riesgo (por ejemplo, un acceso indebido a datos ya públicos sin consecuencias para el titular) no genera obligación de notificar a la Agencia, pero sí la obligación de registrar internamente lo ocurrido.
¿También debo notificar a los titulares afectados?
Sí, en los casos del Art. 14 sexies inc. 3°: cuando la vulneración se refiera a datos personales sensibles, datos de niños y niñas menores de 14 años, o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial. La notificación debe ser en lenguaje claro y sencillo, singularizar los datos afectados, explicar las posibles consecuencias y describir las medidas adoptadas.
¿La APDP tiene un canal oficial para recibir esta notificación?
Aún no. La Agencia de Protección de Datos Personales se constituirá formalmente con la entrada en vigencia plena de la Ley 21.719 el 1 de diciembre de 2026. La designación de su Consejo Directivo, modificada por la Ley N° 21.806 (publicada el 5 de febrero de 2026), debe ocurrir antes del 1 de junio de 2026. Hasta entonces no existe canal oficial de recepción de notificaciones de vulneración. Esta plantilla queda lista para presentarse al canal oficial cuando la Agencia lo publique.
¿Qué calificación tiene NO notificar?
Omitir las comunicaciones o registros de vulneración es infracción grave (Art. 34 ter letra k), con multa de hasta 10.000 UTM. Si la omisión es deliberada, escala a infracción gravísima (Art. 34 quáter letra f), con multa de hasta 20.000 UTM. A valor UTM mayo 2026 (~$70.588 CLP), eso equivale a aproximadamente $706 millones y $1.412 millones respectivamente.