✅ 100% Gratis · Sin registro

Generador de Protocolo de Brechas de Seguridad

Ley 21.719, Art. 14 sexies · 4 fases de respuesta · sin dilaciones indebidas + plantilla de comunicación

Paso 1 de 4Organización

Organización

Equipo

Infraestructura

Comunicación

Datos de tu organización

Aparecerán en el encabezado y en la plantilla de comunicación a afectados.

Nombre de la empresa / organización*

RUTSector

Domicilio

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Qué es un protocolo de brechas y qué exige la Ley 21.719?

Un protocolo de brechas es el procedimiento interno que tu empresa activa cuando ocurre un incidente de seguridad que compromete datos personales. El Art. 14 sexies de la Ley N° 21.719 crea la obligación de notificar a la Agencia de Protección de Datos Personales (APDP) cuando existe una vulneración de seguridad significativa. La ley chilena usa el término "vulneración de seguridad", no "brecha" (que es terminología del GDPR europeo), aunque ambas expresiones se usen coloquialmente.

Tener el protocolo listo antes de un incidente evita errores que agravan la situación. Sin uno, la empresa puede fallar en notificar dentro del tiempo apropiado, destruir evidencia por desconocimiento, o comunicarse mal con los usuarios afectados. Todos esos errores pueden convertir un incidente manejable en una sanción grave. El Art. 14 sexies exige actuar "sin dilaciones indebidas" una vez confirmada la vulneración significativa, lo que requiere tener el proceso definido de antemano, no improvisarlo bajo presión.

¿Qué debe contener el protocolo de vulneraciones?

Un protocolo efectivo cubre desde la identificación del incidente hasta las mejoras posteriores. Estos son los elementos esenciales:

Definición de qué constituye una vulneración significativa — el umbral a partir del cual se activa el protocolo completo y la obligación de notificar
Equipo de respuesta y responsabilidades — quién hace qué: quién decide notificar, quién contacta a la APDP, quién comunica a los titulares
Pasos de contención inmediata — aislar los sistemas afectados, revocar accesos comprometidos, preservar la evidencia sin alterarla
Procedimiento de evaluación de impacto — determinar qué datos fueron comprometidos, cuántos titulares se vieron afectados y qué riesgo conlleva
Plantilla de notificación a la APDP (Art. 14 sexies) — con todos los campos requeridos: naturaleza del incidente, datos comprometidos, medidas adoptadas
Plantilla de comunicación a titulares afectados — en lenguaje claro, explicando qué ocurrió y qué pueden hacer para protegerse
Registro del incidente y acciones tomadas — documentación cronológica para demostrar diligencia ante la APDP
Análisis de causa raíz y mejoras post-incidente — para evitar que el mismo tipo de vulneración se repita
Criterio de notificación temporal — el estándar es actuar "sin dilaciones indebidas" (Art. 14 sexies) una vez confirmada la vulneración significativa

¿Qué empresas necesitan este protocolo?

Toda empresa que trate datos personales necesita un protocolo de vulneraciones, especialmente aquellas que manejan datos de alto riesgo. Las clínicas y centros médicos tienen una obligación reforzada porque los datos de salud son la categoría de mayor sensibilidad. Las tiendas online gestionan datos de pago que son objetivo frecuente de hackeos. Los estudios contables almacenan RUT y datos tributarios de sus clientes. Las startups y empresas tech son vulnerables a brechas por configuración incorrecta de servicios cloud. Finalmente, cualquier empresa con empleados tiene datos de RRHH que representan un vector de ataque frecuente.

Diferencia entre detectar, contener y notificar

El proceso de respuesta tiene tres fases distintas. Detección: identificar que existe un incidente de seguridad que puede haber comprometido datos personales. Contención: detener el daño, aislar sistemas afectados y preservar la evidencia para el análisis posterior. Notificación: comunicar a la APDP y, si corresponde, a los titulares afectados cuando la vulneración es significativa. Un punto clave: la Ley 21.719 exige notificar "sin dilaciones indebidas" — el plazo empieza cuando confirmas que hay una vulneración significativa, no cuando la detectas por primera vez. Eso te da tiempo para evaluar el alcance antes de notificar. El protocolo generado incluye árboles de decisión para cada fase.

Preguntas frecuentes

¿Qué es una vulneración de seguridad de datos personales?

La Ley 21.719 (Art. 14 sexies) usa el término 'vulneración de seguridad' para referirse a cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de datos personales: un hackeo, filtración por error humano, pérdida de un dispositivo con datos, acceso no autorizado a un sistema, o envío accidental de datos a destinatarios incorrectos. No toda vulneración es grave, pero todas deben evaluarse y documentarse.

¿A quién debo notificar en caso de una brecha de datos?

El Art. 14 sexies de la Ley 21.719 exige notificar a la Agencia de Protección de Datos Personales (APDP) cuando la vulneración es significativa y puede afectar derechos de los titulares. Si el incidente puede causar daño grave a los titulares (exposición de datos de salud, financieros, contraseñas), también debes notificarles directamente. El protocolo generado incluye el formulario de notificación a la APDP y la comunicación a titulares.

¿En cuánto tiempo debo notificar una brecha de datos?

La Ley 21.719 (Art. 14 sexies) exige notificar a la APDP 'sin dilaciones indebidas' una vez confirmada la vulneración significativa. La ley no establece un plazo específico en horas o días. Como referencia de buenas prácticas internacionales (GDPR) y como objetivo operacional recomendado: 72 horas para datos sensibles o de alto riesgo. Lo importante es no demorar la notificación una vez que tienes certeza del incidente.

¿Qué información debo incluir en la notificación de brecha a la APDP?

La notificación debe incluir: descripción de la naturaleza del incidente, categorías y número aproximado de titulares afectados, tipos de datos comprometidos, posibles consecuencias de la vulneración, medidas adoptadas o propuestas para mitigar el daño, y datos de contacto del responsable. El protocolo generado incluye plantillas de notificación a la APDP y comunicación a los titulares afectados con el contenido requerido.

¿Qué debo hacer inmediatamente después de detectar una brecha?

Los pasos inmediatos son: (1) Contener el incidente para evitar que se extienda. (2) Preservar la evidencia sin alterarla. (3) Evaluar el alcance: qué datos fueron afectados, cuántos titulares, qué riesgo conlleva. (4) Notificar a la APDP si es una vulneración significativa. (5) Notificar a los titulares si hay riesgo de daño grave. (6) Documentar todo el proceso para demostrar que actuaste diligentemente. El protocolo generado organiza estos pasos con plantillas de comunicación.

📬

Protocolo ARCOP

Procedimiento para atender solicitudes de titulares

→📊

Registro de Tratamiento (RAT)

Documenta qué datos tratas y por qué

→📄

Política de PrivacidadPopular

Genera tu política personalizada para web

→

Aviso legal

PrivacidadWeb.cl es una herramienta tecnológica que genera templates y documentos orientativos basados en los requisitos de la Ley N° 21.719 de Protección de Datos Personales de Chile. Los documentos generados son borradores que deben ser revisados y adaptados a la situación particular de cada empresa. Esta herramienta NO constituye asesoría legal, NO reemplaza la consulta con un abogado especializado, y NO garantiza el cumplimiento de la ley. El uso de esta herramienta es responsabilidad exclusiva del usuario. Para situaciones complejas o de alto riesgo (datos sensibles, transferencias internacionales, datos de menores), recomendamos consultar con un profesional del derecho.

PrivacidadWeb.cl se financia mediante publicidad y enlaces de afiliado. No vendemos ni compartimos datos de nuestros usuarios.