← Volver a los documentos

Thinkbox — Demo · Procedimiento de Brechas

Esto es una muestra generada para una empresa ficticia. Con tu cuenta, generamos estos documentos con los datos de tu empresa, personalizados y mantenidos al día ante cambios de la ley.

Procedimiento de Gestión y Notificación de Vulneraciones de Seguridad

⚠️ BORRADOR — pendiente de revisión de un abogado. No usar en producción sin validar.

Comercializadora Andes SpA — RUT 76.543.210-K

Procedimiento de Gestión y Notificación de Vulneraciones de Seguridad de Datos Personales. Versión 1.0 · Vigente desde el 5 de julio de 2026.

1. Marco legal

El responsable deberá reportar a la Agencia de Protección de Datos Personales, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate, o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares. El responsable deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados, y las medidas adoptadas para gestionarlas y precaver incidentes futuros. IMPORTANTE: la ley NO fija un plazo específico (como "72 horas"); exige actuar "sin dilaciones indebidas" y por los medios más expeditos posibles.

2. Comunicación a los titulares afectados

Cuando la vulneración se refiera a datos personales sensibles, a datos de niños y niñas menores de catorce años, o a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también comunicar la vulneración a los titulares afectados (o a sus representantes, cuando corresponda), en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias y las medidas de solución o resguardo adoptadas. La notificación se realizará a cada titular afectado y, si ello no fuere posible, mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.

3. Roles y responsables

La persona responsable de coordinar la respuesta y la notificación a la Agencia es Juan Pablo Herrera (Delegado de Protección de Datos), bajo la supervisión del encargado de prevención / DPO (Juan Pablo Herrera (Delegado de Protección de Datos)). Todo incidente detectado debe reportarse internamente de inmediato a través de el correo incidentes-seguridad@comercializadoraandes.cl o el canal interno de TI.

4. Paso 1 — Detección y contención

Cualquier trabajador, proveedor o encargado que detecte un incidente que pueda constituir una vulneración de seguridad debe reportarlo de inmediato por el canal interno definido. Se adoptan medidas inmediatas para contener el incidente y evitar que se agrave.

5. Paso 2 — Evaluación de riesgo

Se evalúa si existe un riesgo razonable para los derechos y libertades de los titulares, la naturaleza de los datos afectados (en particular si son sensibles, de menores de catorce años, o de carácter económico, financiero, bancario o comercial) y el número aproximado de titulares afectados. Esta evaluación determina si corresponde notificar a la Agencia y comunicar a los titulares.

6. Paso 3 — Notificación a la Agencia de Protección de Datos Personales

Si la evaluación concluye que existe un riesgo razonable para los titulares, se notifica a la Agencia por los medios más expeditos posibles y sin dilaciones indebidas. Como meta interna de gestión (no un plazo legal), se procura notificar dentro de 72 horas desde la detección; este plazo es un SLA operativo propio, no un plazo establecido por la ley.

7. Paso 4 — Comunicación a los titulares

Cuando corresponda conforme a la sección 2, se comunica a los titulares afectados individualmente o, si no es posible, mediante aviso en un medio de comunicación social masivo y de alcance nacional, en los términos y con el contenido mínimo que exige la ley.

8. Paso 5 — Registro y evidencia

Toda vulneración se registra, describiendo su naturaleza, efectos, categorías de datos, número aproximado de titulares afectados y medidas adoptadas, en el Libro de Registro de Incidentes de Seguridad (planilla interna controlada por el DPO). Este registro sirve de evidencia ante la Agencia y ante eventuales controversias judiciales o administrativas.

*Fuente legal: Ley N° 19.628 (ref. Ley N° 21.719), art. 14 sexies (deber de reportar las vulneraciones a las medidas de seguridad). Cualquier plazo horario indicado en este documento es un SLA interno de gestión, no una exigencia legal — la ley solo exige actuar "sin dilaciones indebidas". Borrador pendiente de revisión de abogado.*

Documento de muestra — no constituye asesoría legal ni un documento válido para tu empresa.