DatosClarosTu guía de datos personales en Chile
Actualidad

Ley 21.719 y la Ley Marco de Ciberseguridad: cómo se complementan

Julio 2026

Si has leído sobre la Ley 21.719, es muy probable que te hayas topado con la afirmación de que "las brechas de seguridad deben notificarse dentro de 72 horas". Es una de las cifras más repetidas — y también una de las más malentendidas. Ese plazo de 72 horas, en rigor, no proviene de la Ley 21.719, sino de otra norma: la Ley 21.663, Ley Marco de Ciberseguridad. Entender cómo se relacionan ambas leyes evita errores de cumplimiento que pueden salir caros.

Dos leyes que tratan cosas distintas

Es fácil confundirlas porque ambas hablan de "datos", "seguridad" e "incidentes", pero regulan ámbitos diferentes:

  • ·La Ley 21.719 regula la protección de datos personales: los derechos de las personas sobre su información y las obligaciones de quienes la tratan. Su autoridad es la Agencia de Protección de Datos Personales (APDP).
  • ·La Ley 21.663 (Marco de Ciberseguridad) regula la seguridad de las redes y sistemas informáticos de ciertas organizaciones, especialmente las que prestan servicios esenciales. Su autoridad es la Agencia Nacional de Ciberseguridad (ANCI) y su equipo de respuesta a incidentes, el CSIRT Nacional.

Una protege a la persona y sus datos; la otra protege la infraestructura digital del país. Se complementan, no se superponen.

El origen del "plazo de 72 horas"

El esquema escalonado de reporte de incidentes — con una alerta temprana en pocas horas y un reporte más completo dentro de 72 horas al CSIRT Nacional — proviene de la Ley 21.663 de ciberseguridad, y aplica a las organizaciones que caen bajo su ámbito (principalmente operadores de servicios esenciales y ciertas entidades reguladas).

Qué exige realmente la Ley 21.719 ante una brecha

La Ley 21.719 establece su propia obligación de notificación cuando ocurre una vulneración de seguridad que afecta datos personales. La ley exige notificar a la Agencia de Protección de Datos por los medios más expeditos posibles y sin dilaciones indebidas, y — cuando la brecha afecta datos sensibles, datos de niños, niñas y adolescentes, o datos económicos — también avisar a los titulares afectados.

La redacción exacta y el eventual plazo específico conviene confirmarlos contra el texto vigente en BCN, precisamente porque en el debate público se ha trasladado la cifra de "72 horas" de una ley a otra sin que necesariamente coincidan.

Por qué esto importa en la práctica

Una misma brecha puede activar dos relojes en paralelo. Si tu organización cae bajo ambas leyes — trata datos personales y además presta un servicio esencial regulado por la ley de ciberseguridad —, un mismo incidente podría obligarte a notificar a dos autoridades distintas (la APDP y el CSIRT/ANCI), con criterios y plazos que no son necesariamente idénticos. Esto lleva a dos errores típicos:

  • ·Creer que cumpliste con una notificación cuando debías hacer dos. Reportar al CSIRT no te exime de notificar a la Agencia de Protección de Datos, y viceversa.
  • ·Aplicar el plazo equivocado. Asumir "72 horas" para todo puede llevarte a incumplir el estándar real que aplica en cada caso.

Qué conviene tener claro antes de diciembre de 2026

  • ·Identifica bajo qué leyes cae tu organización. No todas las empresas están sujetas a la ley de ciberseguridad, pero prácticamente todas tratan datos personales.
  • ·Diseña un protocolo de respuesta a incidentes que contemple ambas obligaciones si te aplican las dos, con sus respectivos destinatarios y plazos.
  • ·No copies plazos de una ley a otra sin verificar. Cada régimen tiene su propia lógica.

Las dos leyes apuntan en la misma dirección — organizaciones más responsables con la información y la infraestructura —, pero son herramientas distintas. Tratarlas como si fueran una sola es la receta perfecta para un incumplimiento por confusión.

Fuentes principales: Ley 21.719 y Ley 21.663 (Marco de Ciberseguridad), Biblioteca del Congreso Nacional — bcn.cl/leychile. Nota editorial: verificar la redacción exacta de la obligación de notificación de brechas de la Ley 21.719 contra el texto vigente en BCN antes de publicar.

¿Necesitas ayuda para ejercer este derecho?

Cuéntanos tu situación y te orientamos sin costo.

Consulta aquí