Ley 21.719 · Vigencia 1 dic 2026 --meses --sem --días Prepárate ahora
Módulos 28 de mayo, 2026 10 min de lectura

Protocolo de respuesta ante una brecha de datos en 72 horas

La Ley 21.719 obliga a notificar a la Agencia de Protección de Datos en máximo 72 horas desde que se toma conocimiento de una brecha. Aquí está el protocolo completo, hora a hora, con el árbol de decisión para saber a quién notificar.

¿Qué es una brecha bajo la Ley 21.719?

Una brecha de datos personales es cualquier incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de datos personales. La definición es muy amplia. Incluye:

  • Confidencialidad comprometida: hackeo con exfiltración, error humano que expone datos, base de datos pública por accidente.
  • Integridad comprometida: alteración no autorizada de los datos (alguien modifica registros).
  • Disponibilidad comprometida: ransomware que cifra los datos, eliminación accidental sin backup, caída prolongada de sistemas.
⚠️
Mito común: "Si nadie accedió a los datos no es brecha" Falso. La ley considera brecha cualquier incidente que comprometa los datos, aunque no se demuestre acceso efectivo. Un laptop perdido sin cifrado, un email enviado al destinatario equivocado o un USB con datos extraído del recinto califican como brecha.

Timeline minuto a minuto: las 72 horas críticas

El conteo de las 72 horas empieza cuando la organización toma conocimiento del incidente — no cuando ocurrió. Esto es relevante: una brecha que sucedió hace 2 meses pero recién detectaste hoy, te da 72 horas desde hoy.

Timeline 72 horas tras detectar una brecha de datos Timeline visual que muestra las acciones a realizar en las horas 0, 6, 24, 48 y 72 tras detectar una brecha de datos personales. T+0 DETECCIÓN • Reporte interno • Aislar fuente • Activar comité • Iniciar log +6h CONTENCIÓN • Detener sangrado • Forense inicial • Alcance estimado • Avisar dirección +24h ANÁLISIS • Datos afectados • N° de titulares • Sensibilidad • Decisión notificar +48h PREPARACIÓN • Borrador notif. • Revisión legal • Plan a titulares • Plantilla prensa +72h NOTIFICACIÓN • A la Agencia • A titulares (si) • Audit log • Cierre fase 1
Diagrama 1 — Timeline de las 72 horas críticas tras detectar una brecha.

T+0 a T+6h — Detección y contención inmediata

  • Activa el comité de crisis: DPO, TI, Legal, Comunicaciones y Operaciones.
  • Aísla la fuente: desconecta el sistema afectado, revoca credenciales comprometidas, suspende accesos.
  • Inicia el log forense: cada acción y decisión debe quedar registrada con timestamp.
  • Preserva la evidencia: no borres logs ni reinicies sistemas hasta hacer copia forense.

T+6h a T+24h — Análisis y dimensionamiento

  • Forense técnico: vector de ataque, sistemas comprometidos, vulnerabilidades explotadas.
  • Estimación de alcance: ¿cuántos titulares afectados? ¿Qué categorías de datos?
  • Clasificación de sensibilidad: ¿hay datos sensibles? ¿datos financieros? ¿menores?
  • Comunicación interna: Gerencia General y Directorio informados.

T+24h a T+48h — Decisión de notificación

  • Aplica el árbol de decisión (ver abajo) para definir a quién notificar.
  • Redacta el borrador de notificación a la Agencia (puede usarse IA para acelerar).
  • Revisión legal del borrador por el equipo jurídico o externos.
  • Plan de comunicación a titulares si corresponde.

T+48h a T+72h — Notificación formal y registro

  • Envío de la notificación a la Agencia antes del minuto 72:00.
  • Notificación a titulares si el riesgo es alto (puede ser en paralelo).
  • Cierre del expediente de fase 1 con hash SHA-256 que demuestre integridad de evidencia.

Árbol de decisión: ¿a quién debes notificar?

No toda brecha requiere notificación. La ley distingue tres situaciones:

Árbol de decisión para notificar una brecha Diagrama de árbol que ayuda a determinar si se debe notificar la brecha a la Agencia y/o a los titulares afectados. ¿Hay brecha de datos personales? ¿Riesgo para derechos del titular? (financiero, identidad, salud, reputación...) NO REGISTRO INTERNO Documenta el incidente con evidencia, pero NO requiere notificación externa. La Agencia puede revisar el registro si fiscaliza ¿Riesgo ALTO para el titular? (daño potencial significativo) NO NOTIFICAR A LA AGENCIA Plazo: 72 horas desde toma de conocimiento + registro interno AGENCIA + TITULARES Sin dilación indebida El DPO o equipo de privacidad decide en base a evaluación documentada
Diagrama 2 — Árbol de decisión para definir a quién notificar.

Escenario 1: No hay riesgo para derechos del titular

Ejemplo: se cifra accidentalmente una base de prueba con datos ficticios, o se pierde un disco duro cifrado donde las claves siguen seguras. La Ley no obliga a notificar, pero debes mantener el registro interno.

Escenario 2: Hay riesgo pero NO es alto

Ejemplo: se filtran correos electrónicos de clientes a una empresa competidora. Hay perjuicio potencial (marketing no deseado) pero no daño significativo. Notificas a la Agencia en 72 horas, pero no a los titulares.

Escenario 3: Hay riesgo ALTO

Ejemplo: se exfiltra una base con RUTs, contraseñas hasheadas y números de tarjeta. Daño potencial alto (fraude, suplantación). Notificas a la Agencia en 72 horas y a los titulares afectados sin dilación indebida.

Qué debe contener la notificación a la Agencia

La notificación debe incluir al menos:

  1. Naturaleza de la brecha: qué pasó, cómo se descubrió.
  2. Categorías y número aproximado de titulares afectados.
  3. Categorías y volumen aproximado de registros comprometidos.
  4. Datos de contacto del DPO u otra persona responsable.
  5. Consecuencias probables de la brecha para los titulares.
  6. Medidas adoptadas o propuestas para mitigar los efectos.
💡
Notificación por partes está permitida Si en 72 horas no tienes toda la información, puedes hacer una notificación inicial con lo que sabes y completarla en notificaciones posteriores. No usar esto como excusa para retrasar: la Agencia castiga el silencio, no la información incompleta.

Errores que multiplican el riesgo

  1. Esperar a tener "todo claro". El plazo corre. Una notificación parcial dentro de plazo es mejor que una completa fuera de plazo.
  2. No documentar las decisiones. Si no notificas, debes poder demostrar por qué evaluaste que no había riesgo.
  3. Comunicación pública prematura. Antes de notificar a la Agencia, no informes a prensa ni stakeholders externos.
  4. Borrar evidencia técnica. Logs, registros, dumps — todo debe preservarse. Sin evidencia, hay agravante.
  5. Ocultar al DPO. El DPO debe involucrarse desde la hora cero. Esconderle el caso al DPO es una infracción independiente.

Cómo prepararte ANTES de que ocurra

Las brechas no se evitan con suerte. Se gestionan con preparación. Estos son los elementos que tu organización debe tener listos antes de que ocurra el incidente:

  • Procedimiento documentado con roles y responsabilidades claras.
  • Comité de crisis definido con contactos 24/7.
  • Plantilla de notificación pre-aprobada por legal.
  • Plantilla de comunicación a titulares en tono adecuado.
  • Simulacros anuales (tabletop exercises) que prueben el protocolo.
  • Software que automatice el control de plazos y la cadena de custodia de evidencia.

El plazo de 72 horas no perdona

Confirmer360 calcula automáticamente el deadline, genera el borrador con IA, conserva evidencia hash SHA-256 y entrega plantilla oficial para la Agencia. Tu seguro de respuesta.

Ver módulo Brechas

Prepárate antes de la brecha, no después

Confirmer360 estructura el protocolo completo: comité, plazos, plantillas, evidencia inmutable y cadena de custodia para la Agencia.

Solicitar demo gratuita

Sigue aprendiendo

Fundamentos

Sanciones y multas de la Ley 21.719

 Módulos

Cómo armar tu RAT paso a paso

 Práctico

Roadmap de implementación en 90 días