Saltar al contenido principal
PrivacTech
← Blog

23 de mayo de 2026

Checklist: 72 horas después de una brecha de datos

La Ley 21.719 te exige notificar a la CPDT dentro de las 72 horas siguientes a detectar una brecha de datos personales que represente riesgo real para los titulares. Este checklist te muestra exactamente qué hacer en cada bloque de tiempo, para minimizar el daño operativo, legal y reputacional.

Antes de seguir, conviene leer la guía completa sobre brechas para entender la diferencia entre incidentes notificables y no notificables. Este artículo asume que ya identificaste que se trata de una brecha notificable.

Hora 0 – 4

Contención inmediata

  • Aislar el vector de la brecha (desconectar el servidor afectado, revocar accesos comprometidos, deshabilitar la cuenta o llave robada)
  • Confirmar que el bleeding se detuvo: no hay exfiltración activa en curso
  • Notificar al responsable interno y al DPO (si lo hay) — no resolver en silencio
  • Iniciar bitácora con hora exacta de detección, descubridor y primeras acciones
Hora 4 – 24

Evaluación del alcance

  • Cuantificar: ¿cuántos titulares afectados? ¿qué categorías de datos? ¿datos sensibles involucrados?
  • Determinar si el dato estaba cifrado y si el atacante tiene la llave
  • Documentar la causa raíz preliminar (¿credencial comprometida? ¿vulnerabilidad? ¿error humano?)
  • Evaluar el riesgo real para los derechos de los titulares (suplantación, fraude, discriminación)
  • Decidir si la brecha es notificable según la evaluación de riesgo
Hora 24 – 48

Preparar notificación a la CPDT

  • Redactar descripción clara: qué pasó, cómo se descubrió, cuándo, qué datos
  • Cuantificar titulares afectados (aproximado si no hay número exacto aún)
  • Listar medidas de contención ya tomadas
  • Adjuntar evaluación preliminar de riesgo
  • Designar punto de contacto interno para el seguimiento con la CPDT
Hora 48 – 72

Notificación CPDT + decisión sobre titulares

  • Enviar notificación a la CPDT antes del cierre de la ventana de 72 horas
  • Evaluar si el riesgo es alto: en ese caso, preparar comunicación directa a titulares afectados
  • Si la comunicación es obligatoria: lenguaje claro, sin tecnicismos, indicando qué pasó, qué riesgo existe y qué pueden hacer para protegerse
  • Documentar la decisión de notificar o no a titulares, con la justificación
  • Mantener bitácora actualizada para el informe post-incidente

Después de las 72 horas: informe post-incidente

La CPDT solicitará un informe formal dentro de los 30 días posteriores. Lo que debe incluir:

  • Análisis de causa raíz completo: técnica + organizacional
  • Medidas correctivas implementadas (parches, MFA, rotación de credenciales, revisión de accesos)
  • Plan de remediación con responsables y fechas
  • Evidencia de que la brecha no puede repetirse por la misma vía
  • Comunicación interna: lecciones aprendidas para el equipo

¿Sin plan de respuesta documentado?

El plan Starter de PrivacTech genera tu plan de respuesta a brechas con timeline 72h preconfigurado, plantilla de notificación a la CPDT y comunicación a titulares — todo adaptado al sector de tu empresa. Si tener este plan documentado desde antes del incidente puede operar como atenuante ante la CPDT, vale tenerlo listo hoy, no después.

Ver texto oficial — Biblioteca del Congreso NacionalGenerar mi plan de brechas →

Otros artículos

Brecha de seguridad de datos: qué hacer según la Ley 21.719¿Qué es la CPDT? La nueva Agencia de Protección de DatosMultas de la Ley 21.719: cuánto puede costar no cumplirDPO en Chile: cuándo es obligatorio y qué debe hacer