Una filtración de datos puede pasarle a cualquier empresa. Lo que la Ley 21.719 castiga no es solo la brecha, sino no avisar a tiempo. Tener un procedimiento de notificación listo es la diferencia entre gestionar una crisis y sumarle una multa.
Qué exige la notificación de brechas en la Ley 21.719
La Ley 21.719 introduce un deber que antes no existía con esta fuerza: cuando ocurre una vulneración de seguridad que afecta datos personales, debes notificarla. Esto rompe con la práctica anterior de "guardar silencio" y obliga a la transparencia.
Una brecha es cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de datos personales: un hackeo, una fuga de información, un correo enviado al destinatario equivocado, un dispositivo perdido o un acceso no autorizado. No todas tienen el mismo nivel de riesgo, pero todas deben evaluarse.
¿A quién hay que notificar y en qué plazo?
La notificación tiene dos posibles destinatarios:
- A la Agencia de Protección de Datos Personales: el plazo más citado por las fuentes es de 72 horas desde que se toma conocimiento de la brecha (verificar el plazo y los detalles en el reglamento definitivo).
- A los titulares afectados: cuando la brecha implique un alto riesgo para sus derechos, también hay que avisarles, para que puedan protegerse (por ejemplo, cambiar contraseñas).
| Destinatario | Cuándo notificar | Plazo citado |
|---|---|---|
| Agencia | Brechas que afecten datos personales | 72 horas (verificar) |
| Titulares afectados | Cuando hay alto riesgo para sus derechos | A la brevedad (verificar) |
Qué debe contener la notificación
Una notificación de brecha bien hecha suele describir:
- Qué pasó: naturaleza del incidente y cómo se detectó.
- Qué datos y cuántas personas se vieron afectadas.
- Posibles consecuencias para los titulares.
- Medidas adoptadas para contener la brecha y mitigar el daño.
- Datos de contacto del responsable o del DPO.
El procedimiento interno que tu empresa necesita
El plazo de 72 horas es corto, así que improvisar no es opción. Tu empresa debe tener definido de antemano:
- Quién detecta y reporta internamente un incidente.
- Quién evalúa si constituye una brecha notificable y su nivel de riesgo.
- Quién prepara y envía la notificación a la Agencia y, si aplica, a los titulares.
- Cómo se documenta todo el proceso (la trazabilidad es clave si la Agencia revisa).
Tener este protocolo escrito y ensayado es, en sí mismo, evidencia de cumplimiento.
Conclusión
La notificación de brechas de la Ley 21.719 convierte la transparencia en obligación, con plazos cortos que exigen estar preparado. Un procedimiento claro y ensayado te permite responder en horas, no en días. Puedes preparar tu protocolo de gestión de brechas acá.