La ciberseguridad y la protección de datos personales se han vuelto temas críticos para las empresas en Chile. Con la entrada en vigor de la Ley N°21.719, que regula la notificación de incidentes relacionados con datos personales, la obligación de las organizaciones de cumplir con las normativas es más apremiante. Esta ley, junto con la Ley N°21.663 sobre ciberseguridad, establece un marco robusto para el manejo de datos, exigiendo que las empresas implementen protocolos efectivos para proteger los derechos de los titulares de datos y reportar cualquier vulneración de manera oportuna.
Obligaciones de Notificación en Incidentes de Datos Personales
Bajo la Ley N°21.719, cuando una organización sufre un incidente que compromete la seguridad de los datos personales, debe notificarlo a la Agencia de Protección de Datos. Esto incluye situaciones de destrucción, filtración, pérdida o alteración de datos, así como accesos no autorizados. La ley exige que esta notificación se haga sin dilaciones indebidas y a través de los medios más rápidos posibles.
Protocolo de Comunicación
El cumplimiento de esta normativa no solo implica informar a la autoridad reguladora, sino también a los titulares de los datos afectados. Esta comunicación debe realizarse en un lenguaje claro que explique qué datos se vieron comprometidos, las potenciales consecuencias y las medidas implementadas para mitigar los efectos del incidente.
Además, si no es posible comunicarse individualmente con los afectados, se debe optar por una difusión a través de un medio de comunicación masivo con alcance nacional. Esto asegura que todos los afectados reciban la información de manera oportuna.
Estructura de Reporte Escalonado para Incidentes de Ciberseguridad
Para incidentes de ciberseguridad, especialmente aquellos que afectan servicios esenciales o a operadores de importancia vital (OIV), el Reglamento de Reporte de Incidentes de Ciberseguridad establece un proceso escalonado de comunicación con el CSIRT Nacional. Este flujo incluye varios informes: una alerta temprana en las primeras tres horas de detección, un informe preliminar dentro de las siguientes 72 horas, y un informe final una vez que el incidente ha sido gestionado.
Contenido Obligatorio en los Reportes
Los reportes deben contener información clave, como la identificación de la institución afectada, detalles del delegado de ciberseguridad que hace el reporte, e indicadores de compromiso. Es esencial que estas comunicaciones omitan información personal de los titulares de datos para proteger su privacidad, incluso durante el proceso de notificación.
Implicancias Prácticas para las Empresas
La implementación de estas normativas tiene consecuencias prácticas significativas para las empresas. La necesidad de notificar de manera rápida y efectiva implica que las organizaciones deben estar preparadas para responder a incidentes de seguridad. Esto requiere contar con personal capacitado, procesos bien definidos y tecnologías que faciliten la detección y el reporte inmediato de incidentes.
Estrategias para Cumplimiento Efectivo
- Documentación Detallada: Contar con un formulario estandarizado que incorpore todos los campos requeridos por las leyes puede ayudar a reducir omisiones de información clave.
- Automatización de Protocolos: Implementar sistemas que automaticen los procesos de respuesta puede facilitar la contención rápida de incidentes y asegurar que los reportes se emitan dentro de los plazos estipulados.
- Capacitación Continua: Realizar simulacros periódicos y capacitaciones para el personal asegura una respuesta rápida y eficiente ante cualquier brecha de seguridad.
- Designación de Responsables: Nombrar a un responsable único, como un delegado de ciberseguridad o un CISO, encargado de verificar que todos los reportes sean consistentes y precisos, minimiza el riesgo de errores que puedan derivar en sanciones.
Importancia del Mapeo de Incidentes
Clasificar los incidentes de acuerdo con su naturaleza y los marcos legales aplicables es crucial. Esto permite que las organizaciones se adhieran a los procedimientos y timings correctos, asegurando así el cumplimiento con las normas y minimizando el riesgo de sanciones.
Conclusión
La infraestructura regulatoria en Chile está alineada con estándares internacionales, lo que permite a las empresas no solo cumplir con las leyes locales, sino también con marcos globales en protección de datos y ciberseguridad. Antes de dar el siguiente paso, ¿sabes realmente en qué posición está tu empresa? En EFECTUS hemos desarrollado un Panel de Diagnóstico gratuito con tres tests de autoevaluación — uno por cada ley clave (Ley 20.393, Ley 21.663 y Ley 21.719) — para que identifiques tus brechas reales antes de que lo haga un regulador. Accede en efectus.cl/autoevaluacion/ y toma el control de la protección y ciberseguridad de tu empresa.
DIAGNÓSTICO GRATUITO
¿Sabes en qué posición está tu empresa frente a la normativa?
Muchas organizaciones descubren brechas inesperadas cuando hacen este ejercicio. Tenemos 3 tests de autoevaluación gratuitos — uno por cada ley clave — para que identifiques tus riesgos reales antes de que lo haga un regulador.
LEY N°20.393
Prevención de Delitos
«¿Tiene tu empresa un Modelo de Prevención vigente y auditado?»
LEY N°21.663
Marco de Ciberseguridad
«¿Tu Directorio lidera activamente la ciberseguridad?»
LEY N°21.719
Protección de Datos
«¿Tienes un inventario actualizado de los datos que manejas?»
Gratuito · Sin compromiso · Resultados inmediatos