Generador de Protocolo de Brechas de Seguridad
Ley 21.719, Art. 14 sexies · 4 fases de respuesta · sin dilaciones indebidas + plantilla de comunicación
Datos de tu organización
Aparecerán en el encabezado y en la plantilla de comunicación a afectados.
PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.
¿Por qué necesitas un Protocolo de Brechas de Seguridad?
El Art. 14 sexies de la Ley N° 21.719 exige reportar vulneraciones a la seguridad a la Agencia de Protección de Datos sin dilaciones indebidas. Como práctica recomendada: dentro de 72 horas para datos sensibles o de menores, y dentro de 5 días hábiles para otras brechas con riesgo para los titulares. Sin un protocolo previo, incluso estas metas son imposibles de cumplir bajo presión.
El generador produce el plan completo personalizado: equipo de respuesta con contactos de emergencia, infraestructura y activos críticos, las 4 fases de respuesta (Contención → Evaluación → Notificación → Remediación) con acciones concretas, plantilla de comunicación a afectados, checklist post-incidente de más de 30 ítems y registro de incidentes.
¿Por qué las pymes necesitan un plan de brechas antes de sufrir un incidente?
Un ransomware, un correo enviado al destinatario equivocado con datos de clientes, o un proveedor hackeado pueden desencadenar una brecha de seguridad en cualquier empresa, sin importar su tamaño. La Ley 21.719 exige actuar sin dilaciones indebidas desde el momento en que la empresa toma conocimiento de la brecha. Como práctica, el objetivo debe ser notificar dentro de 72 horas para datos sensibles. Sin un protocolo previo, esas primeras horas se consumen tratando de entender qué pasó.
No notificar a la APDP una brecha con datos sensibles es una infracción gravísima, sancionable con hasta 20.000 UTM (~$1.400M CLP) (Art. 35). El protocolo generado convierte una situación de caos en un proceso ordenado con responsables claros, acciones predefinidas y comunicaciones listas para enviar.
¿Qué incluye el Plan de Brechas generado?
- Equipo de respuesta al incidente — roles, nombres y contactos de emergencia de cada integrante
- Mapa de infraestructura y activos — proveedor de hosting, tipo de servidor, frecuencia de backup y datos sensibles tratados
- 4 fases de respuesta con plazos — Contención (0-4h), Evaluación (4-24h), Notificación (actuar sin dilaciones, objetivo: 72h para datos sensibles) y Remediación (semanas)
- Contactos de emergencia externos — APDP, PDI Cibercrimen, CSIRT y soporte técnico del proveedor de hosting
- Plantilla de comunicación a titulares afectados — carta personalizada lista para enviar a los clientes o empleados afectados
- Informe post-incidente — estructura del informe interno de lecciones aprendidas
- Registro de incidentes — tabla para documentar cada brecha, obligatoria ante una auditoría de la APDP
Preguntas frecuentes
¿Qué es una brecha de seguridad según la Ley 21.719?
El Art. 14 sexies de la Ley N° 21.719 (que modifica la Ley 19.628) define las vulneraciones a las medidas de seguridad como la destrucción, filtración, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. Incluye hackeos, pérdida de dispositivos con datos, envíos masivos erróneos, accesos internos no autorizados y ataques de ransomware.
¿Cuándo debo notificar la brecha a la APDP?
El Art. 14 sexies exige notificar a la Agencia 'por los medios más expeditos posibles y sin dilaciones indebidas'. La ley no fija un plazo en horas o días, pero como práctica recomendada: actúa dentro de 72 horas si hay datos sensibles, menores de 14 años o datos económico/financieros comprometidos; y dentro de 5 días hábiles para otras brechas con riesgo para los titulares. La Agencia establecerá plazos específicos mediante instrucción general. Si la brecha no implica riesgo para los titulares, no es obligatorio notificar, aunque siempre se recomienda documentarla internamente.
¿Siempre debo avisar a los afectados cuando hay una brecha?
Solo cuando la brecha implica un riesgo elevado para los derechos de los titulares: cuando los datos comprometidos son sensibles, cuando hay riesgo real de fraude o suplantación de identidad, o cuando el número de afectados es alto. La notificación a los titulares debe hacerse sin dilación indebida y en lenguaje claro.
¿Qué multa arriesgo por no notificar una brecha a la APDP?
No notificar a la APDP una brecha que afecte datos sensibles constituye una infracción gravísima, sancionable con hasta 20.000 UTM (~$1.400M CLP) (Art. 35). No notificar otras brechas con riesgo para los titulares constituye una infracción grave (hasta 10.000 UTM). La Ley 21.719 exige actuar 'sin dilaciones indebidas'; la Agencia precisará los plazos exactos mediante instrucción general.