¿Debo notificar una brecha de datos? ¿A quién y en qué plazo?

Sí. El responsable debe reportar las brechas a la Agencia de Protección de Datos sin dilaciones indebidas, y a las personas afectadas cuando hay datos sensibles, de menores o financieros. No reportar es, por sí solo, una infracción, y el plazo corre desde que se toma conocimiento de la brecha, no desde que se termina de investigarla.

Esta página responde las preguntas operativas que impone una brecha de inmediato: el deber y su estándar, a quién hay que avisar y qué contiene la comunicación, qué pasa si se guarda silencio, cuándo el incidente es además un delito y cómo estar preparado para que el plazo sea manejable. Cierra con las preguntas que surgen en la primera hora de un incidente.

El deber y su estándar

La obligación no es investigar primero y reportar después. Es reportar con prontitud, sobre un estándar que la ley fija en palabras, no en horas.

El artículo 14 sexies de la Ley 19.628, según la Ley 21.719, exige al responsable reportar las vulneraciones a las medidas de seguridad a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas. Es un estándar de conducta, no un reloj fijo, y es exigente justamente por ser abierto: el tiempo razonable se mide desde el conocimiento de la brecha, y una respuesta lenta o dubitativa es difícil de justificar a posteriori.

La primera decisión dentro de esa ventana es a quién hay que avisar.

A quién se notifica

A la Agencia siempre se le notifica. Que además haya que avisar a las personas afectadas depende de la naturaleza de los datos comprometidos.

La Agencia, siempre

Toda vulneración de las medidas de seguridad se reporta a la Agencia de Protección de Datos, por los medios más expeditos y sin dilaciones indebidas. Este deber no depende de cuántos registros se afectaron; depende de que la vulneración haya ocurrido.

Los titulares, cuando más importa

El responsable debe comunicar también a las personas afectadas cuando la brecha recae sobre datos sensibles, datos de niñas, niños y adolescentes, o datos de obligaciones económicas, financieras, bancarias o comerciales, justamente las categorías donde el daño a la persona es mayor.

Guardar silencio no es una opción neutra; es una infracción propia y distinta.

El costo de no reportar

La omisión de notificar se sanciona por derecho propio, y la exposición no siempre se detiene en el plano administrativo.

Administrativo

Una infracción sancionable

No reportar una brecha notificable es sancionable dentro del régimen del artículo 35, con multas de hasta 20.000 UTM para las gravísimas. Ver sanciones y multas.

Penal

Cuando la brecha es delito

Si media acceso ilícito o un ataque a los datos o sistemas, puede ser un delito informático de la Ley 21.459. Ver la exposición penal frente a ciberincidentes.

Gobierno

Un asunto de directorio

El manejo de la brecha cae dentro del deber de cuidado del directorio. Ver la responsabilidad del directorio ante la Ley de Datos.

Nada de esto es manejable en tiempo real sin una preparación hecha de antemano.

Estar listo antes de que ocurra

El estándar de reporte solo es alcanzable si la base de seguridad y respuesta ya existe.

  • Medidas de seguridad adecuadas al riesgo, como exige el artículo 14 quinquies, para que las brechas se detecten en vez de descubrirse tarde.
  • Un plan de respuesta a incidentes que defina quién decide, cómo se evalúa la gravedad y qué se comunica, para que la notificación sea un paso, no una improvisación.
  • Un diagnóstico previo de brechas frente a la ley, para entender el deber antes de que se active. Ese es el sentido de un diagnóstico de la Ley de Datos.

¿Podría su empresa reportar a tiempo?

El estándar de "sin dilaciones indebidas" no perdona a las empresas que improvisan. El diagnóstico de la Ley de Datos revisa sus deberes de seguridad y su plan de respuesta contra la Ley 21.719 y deja la ruta de notificación definida antes de que un incidente la ponga a prueba.

Solicitar un diagnóstico de la Ley de Datos

Preguntas frecuentes

¿A quién se notifica una brecha de datos?

Siempre a la Agencia de Protección de Datos. Además, a los titulares afectados cuando la vulneración recae sobre datos sensibles, datos de niñas, niños y adolescentes, o datos de obligaciones económicas, financieras, bancarias o comerciales. La comunicación a la Agencia es la regla general; la comunicación a los titulares depende de la naturaleza de los datos comprometidos (artículo 14 sexies).

¿En qué plazo hay que reportar?

La ley no fija un número exacto de horas: exige reportar por los medios más expeditos posibles y sin dilaciones indebidas (artículo 14 sexies). En la práctica, ese estándar obliga a tener una capacidad de respuesta ya montada, porque el plazo empieza a correr desde que la empresa toma conocimiento de la vulneración, no desde que termina de investigarla.

¿Qué pasa si no notifico?

No reportar una vulneración que debía comunicarse es una infracción en sí misma, sancionable por la Agencia dentro del régimen del artículo 35, con multas que escalan hasta 20.000 UTM para las infracciones gravísimas. A esa exposición administrativa se suma la agravación reputacional de que la omisión salga a la luz por otra vía.

¿Una brecha de datos puede ser además un delito?

Sí. Si la vulneración proviene de un acceso ilícito, una interceptación o un ataque a la integridad de los datos o los sistemas, el hecho puede constituir un delito informático de la Ley 21.459, con responsabilidad penal para las personas naturales y, vía Ley 21.595 y el catálogo de la Ley 20.393, para la empresa. El reporte administrativo y la respuesta penal se gestionan en paralelo.

¿Cómo se cumple el estándar sin improvisar?

Con las medidas de seguridad adecuadas al riesgo que exige el artículo 14 quinquies y con un plan de respuesta a incidentes definido antes de necesitarlo: quién decide, cómo se evalúa la gravedad, qué se comunica y a quién. Sin ese plan, el deber de reportar sin dilaciones indebidas es muy difícil de cumplir en el momento.

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.