Brechas de seguridad: el protocolo de 72 horas que exige la Ley 21.719

Brechas de seguridad: el protocolo de respuesta en 72 horas que exige la Ley 21.719

Una filtración de datos —una base de clientes expuesta, un acceso no autorizado a tu sistema, un proveedor que pierde información que le confiaste— no es solo un problema técnico. Bajo la Ley N° 21.719, es también un problema legal con plazos estrictos de respuesta, y no tener un protocolo definido antes de que ocurra es, en sí mismo, una falla de cumplimiento.

Qué exige la ley

El artículo 33 de la ley establece la obligación de notificar las brechas de seguridad que afecten datos personales dentro de un plazo acotado —72 horas— a la autoridad correspondiente, además de informar a los titulares afectados cuando exista un riesgo relevante para sus derechos.

La lógica detrás de este plazo es simple: cuanto antes se detecta y comunica una brecha, antes se puede contener el daño, tanto para los titulares de los datos como para la reputación de la empresa.

El problema de improvisar en el momento

El error más común de las PYMEs no es no tener un protocolo perfecto, sino no tener ninguno. Cuando ocurre una brecha real, no hay tiempo para definir desde cero quién debe enterarse primero, cómo se documenta el incidente, ni qué se le dice a los clientes — y las 72 horas corren igual.

Qué debe contener un protocolo de respuesta a brechas

Un protocolo bien armado, alineado con los estándares que exige la ley, debería cubrir:

Cómo se detecta y reporta internamente un incidente (quién debe enterarse primero, por qué canal).
Cómo se evalúa la gravedad — si hay riesgo real para los derechos de los titulares.
El proceso de notificación a la autoridad dentro del plazo de 72 horas.
Cómo y cuándo se comunica a los titulares afectados, si corresponde.
Medidas de contención inmediata (bloqueo de accesos, cambio de credenciales, aislamiento de sistemas).
Registro del incidente, incluyendo qué pasó, qué se hizo y qué medidas se tomaron para evitar que se repita.

La guía oficial del Gobierno también hace referencia a la Norma Técnica de Seguridad de la Información y Ciberseguridad (Decreto N° 7 de 2023), que sirve como marco de referencia razonable para definir qué medidas de seguridad adoptar antes de que ocurra cualquier incidente — no solo para responder, sino para reducir la probabilidad de que pase.

¿Tu sitio tiene las protecciones básicas de seguridad en orden? Nuestro escáner revisa señales clave (HTTPS, headers de seguridad, formularios sin protección) en 30 segundos. Escanear mi sitio →

No es solo un documento — es preparación real

Tener un protocolo de respuesta a brechas escrito no evita que ocurra un incidente, pero sí determina qué tan caótica o controlada es la respuesta cuando sucede. Las empresas que tienen este protocolo antes de necesitarlo responden más rápido, documentan mejor, y reducen tanto el riesgo legal como el daño reputacional.

Genera tu Protocolo de Respuesta a Brechas personalizado con los datos y herramientas de tu empresa, listo para activar el día que lo necesites. Generar mi protocolo de brechas →

Preguntas frecuentes

¿El plazo de 72 horas corre desde que ocurre la brecha o desde que la descubro? La lógica del estándar (consistente con marcos internacionales similares) es que el plazo corre desde que la empresa toma conocimiento del incidente, no desde el momento exacto en que ocurrió — lo que hace aún más importante tener mecanismos de detección temprana.

¿Toda brecha de seguridad debe notificarse? La obligación de notificar aplica cuando existe un riesgo relevante para los derechos de los titulares afectados. Tener un protocolo claro ayuda precisamente a evaluar rápido ese nivel de riesgo, sin tener que improvisarlo en medio de la crisis.

Lectura relacionada

Este artículo es informativo y no constituye asesoría legal. Para casos específicos, consulta con un abogado especializado en protección de datos.

Fuente oficial: Guía Práctica para la implementación de la Ley de Protección de Datos Personales — Secretaría de Gobierno Digital