Brecha de datos: cómo notificar a la APDP sin improvisar (Art. 14 sexies)
Ante una brecha, la Ley 21.719 obliga a reportar sin dilaciones indebidas (Art. 14 sexies). Así DPOLab convierte el caos en proceso: wizard guiado, árbol de decisión para la notificación a la APDP y plantillas listas.
Una brecha de datos rara vez avisa con tiempo. Un acceso no autorizado, un correo enviado al destinatario equivocado, un respaldo expuesto: cuando ocurre, la primera reacción suele ser el silencio nervioso mientras alguien decide qué hacer. Y ese silencio es justamente el problema, porque la Ley 21.719 obliga a actuar.
El Art. 14 sexies exige reportar las vulneraciones de seguridad sin dilaciones indebidas. No es un “cuando podamos”: es un estándar de prontitud que corre desde que la conoces. La pregunta operativa —¿notifico?, ¿a la Agencia?, ¿también a los titulares?— hay que responderla bajo presión, y sin un proceso definido la respuesta llega tarde o no llega.
”Sin dilaciones indebidas” no es “cuando me acuerde”
A diferencia del RGPD europeo, que fija un plazo de 72 horas, la ley chilena usa el estándar de “sin dilaciones indebidas”. Es más exigente de lo que parece: significa que la demora debe poder justificarse, y que improvisar el procedimiento el día de la brecha —buscar a quién avisar, redactar de cero, decidir si corresponde notificar— ya es, en sí, una dilación.
La forma de cumplir no es reaccionar más rápido a pulso, sino tener el proceso armado de antemano.
1 — Un wizard que ordena el caos en 5 pasos
DPOLab convierte la emergencia en una secuencia: identificación, datos afectados, contención, actividades del RAT involucradas y revisión. Cada paso valida los campos críticos antes de seguir, así que la evidencia se captura cuando importa —en caliente— y no se reconstruye después de memoria.
2 — Un árbol de decisión para la notificación a la APDP
La pregunta más difícil —¿esta brecha hay que notificarla?— deja de ser un juicio improvisado. El árbol de decisión evalúa el tipo de datos, el volumen, la gravedad y el riesgo para los titulares, y resuelve si procede notificar a la Agencia. Cuando hay datos sensibles involucrados, el análisis eleva la urgencia automáticamente, en línea con la mayor protección que la ley les reconoce.
3 — Plantillas listas para enviar
Redactar bajo presión es donde se cometen los errores. DPOLab trae la notificación formal a la APDP en lenguaje regulatorio y la comunicación a los titulares en lenguaje simple, ambas pre-completadas con los datos del caso. Tú revisas y envías, en lugar de partir de una hoja en blanco mientras corre el reloj.
4 — Vínculo con el RAT y recordatorio de contención
Cada brecha se conecta con las actividades del RAT afectadas: si el sistema comprometido sostiene ciertos tratamientos, DPOLab los lista para dimensionar el alcance real. Y si la brecha no está contenida en 48 horas, un recordatorio automático mantiene la presión sana para que el caso no quede en pausa.
Lo que ganas
Gestionar las brechas en una plataforma no es burocratizar la emergencia: es estar listo antes de que ocurra. Pasas de la improvisación a un proceso que:
- Captura evidencia en caliente, con un wizard que no deja avanzar incompleto.
- Decide la notificación con un árbol de criterios, no a ojo.
- Acelera la comunicación con plantillas para la APDP y los titulares.
- Dimensiona el alcance vinculando la brecha con el RAT afectado.
Es la diferencia entre esperar que no pase y saber exactamente qué hacer cuando pase.
Si quieres preparar el procedimiento antes de necesitarlo, agenda un diagnóstico o pide una prueba. Y si prefieres acompañamiento para definir el plan de respuesta, el equipo de Codevsys ofrece la implementación guiada.