Brechas e incidentes de seguridad
El módulo de Brechas registra, evalúa y notifica incidentes de seguridad que afecten datos personales. Cuando una vulneración pueda afectar los derechos de los titulares, el responsable del tratamiento debe reportarla a la Agencia de Protección de Datos Personales (APDP) "sin dilaciones indebidas" (Art. 14 sexies, Ley 21.719) y notificar a los titulares afectados cuando el riesgo sea alto.
DPOLab entrega:
- Registro estructurado con cifrado AES-256-GCM de los campos narrativos.
- Árbol de decisión automatizado para determinar si corresponde notificar a la APDP y a los titulares.
- Plantilla prellenada en español lista para presentar en el portal de la APDP.
- Línea de tiempo inmutable de todos los eventos del incidente.
- Vínculo con las actividades del RAT afectadas.
- Alertas internas automáticas para el equipo de respuesta.
Para integrar este módulo con tus sistemas propios, consulta la Referencia API Brechas.
Requisitos regulatorios
| Norma | Artículo | Obligación |
|---|---|---|
| Ley 21.719 | Art. 14 sexies inc. 1 | Reportar a la APDP "sin dilaciones indebidas" cuando haya riesgo para los titulares. La ley no fija un plazo numérico. |
| Ley 21.719 | Art. 14 sexies inc. 2 | Notificar a los titulares afectados cuando el riesgo sea alto. |
| Ley 21.719 | Art. 14 quinquies | Deber de adoptar medidas de seguridad técnicas y organizativas (artículo separado al de brechas). |
| RGPD | Art. 33 | Plazo de 72 horas para notificar a la autoridad de control (referencia internacional; no aplica directamente en Chile). |
Sobre el plazo de 72 horas: DPOLab fija un objetivo interno de 72 horas alineado con la buena práctica del RGPD (Art. 33 RGPD) cuando el árbol de decisión concluye que corresponde notificar. Este plazo es una referencia operativa interna, no una obligación directa de la Ley 21.719. La obligación legal chilena es notificar "sin dilaciones indebidas" (Art. 14 sexies), sin plazo numérico fijo.
No notificar cuando corresponde es infracción gravísima (Art. 34 quáter letra f), sancionable con hasta 20.000 UTM.
Cómo acceder
Desde el menú lateral, selecciona Brechas. El acceso completo al módulo requiere plan Professional o superior; el plan Starter tiene acceso básico (ver tabla de restricciones más adelante).
Funcionalidades principales
- Registro estructurado con cifrado AES-256-GCM de la descripción, vector de ataque, acciones de contención, acciones de remediación y medidas de prevención futura.
- Árbol de decisión que evalúa el riesgo según categorías especiales de datos (Art. 16 Ley 21.719), datos de menores y datos financieros. Calcula si corresponde notificar y fija el objetivo interno de 72 horas como referencia.
- Plantilla APDP prellenada con datos del responsable, categorías afectadas, medidas adoptadas y datos del DPO (Data Protection Officer), también denominado DPD (Delegado de Protección de Datos) en la legislación chilena. Disponible desde plan Professional.
- Notificación a titulares (Art. 14 sexies inc. 2): plantillas editables con variables dinámicas, vista previa y registro del envío.
- Línea de tiempo inmutable: todos los eventos del incidente — creación, árbol de decisión, cambios de estado, notificación a la APDP, notificación a titulares — quedan registrados y no pueden modificarse.
- Vínculo con el RAT: identifica qué actividades de tratamiento quedaron afectadas y dispara revisión de DPIA si corresponde.
- Tarea de remediación automática vinculada a la entidad legal con prioridad urgente.
- Alerta interna a 48 horas: si a las 48 horas de detectada la brecha no se ha registrado la notificación a la APDP, la plataforma notifica al Propietario, al DPO y al investigador asignado.
- Integración Wazuh SIEM (plan Enterprise): alertas de nivel ≥ 12 generan brechas automáticamente.
Paso a paso
Detecta y registra la brecha
Ve a Brechas → Nuevo incidente y completa los datos:
- Título — descripción breve del incidente.
- Detectada el — fecha y hora exacta de detección.
- Fuente de detección — Manual, Alerta SIEM, Correo electrónico o Reporte externo.
- Descripción — narración del incidente (cifrada en reposo).
- Vector de ataque — cómo ocurrió (cifrado en reposo).
- Naturaleza de la brecha — confidencialidad, integridad o disponibilidad (puedes marcar más de una).
- Efectos — consecuencias conocidas para los titulares.
- Categorías de datos afectados — identificación, contacto, financiero, salud, biométrico, etc.
- Campos del glosario — si usas el Glosario de datos, selecciona los campos específicos afectados. DPOLab derivará automáticamente las categorías y detectará si hay datos sensibles o de categoría especial.
- Registros estimados — número aproximado de titulares afectados.
- Entidad legal — responsable del tratamiento.
Al guardar, DPOLab registra el incidente, inicia el flujo de gestión, encola la alerta a 48 horas y crea automáticamente una tarea de remediación urgente.
Completa los datos afectados
Agrega los detalles sobre los datos y titulares comprometidos.
Vincula los tratamientos afectados del RAT
Desde el detalle de la brecha, sección "Tratamientos afectados", vincula las actividades del RAT impactadas. Esto permite evaluar si el incidente exige actualizar una DPIA o adoptar nuevas medidas de seguridad.
Ejecuta el árbol de decisión (Professional+)
El árbol de decisión analiza el incidente y responde automáticamente:
- ¿Corresponde notificar a la APDP?
- ¿Corresponde notificar a los titulares afectados?
- ¿Cuál es la urgencia del incidente (normal o alta)?
El sistema consulta los campos del glosario para detectar si hay datos sensibles o de categoría especial según los Art. 16 a 16 sexies de la Ley 21.719. Si los hay, fuerza urgencia alta y notificación obligatoria, independientemente de lo que indiques manualmente.
Si el árbol determina que corresponde notificar, DPOLab muestra un contador hacia el objetivo interno de 72 horas como referencia operativa. Recuerda que la obligación legal chilena es notificar "sin dilaciones indebidas", sin plazo numérico fijo.
Registra las acciones de contención y remediación
Actualiza la brecha con:
- Acciones de contención — qué se hizo para detener el incidente (cifrado en reposo).
- Acciones de remediación — correcciones aplicadas (cifrado en reposo).
- Medidas de prevención futura — para evitar recurrencia (cifrado en reposo).
Cambia el estado a Contenida cuando la contención esté completa.
Genera la plantilla APDP y notifica (Professional+)
DPOLab genera un documento en español con todos los datos requeridos por la APDP: descripción del incidente, categorías afectadas, número estimado de titulares, medidas adoptadas y datos de contacto del DPO.
La presentación de la notificación a la APDP es manual hasta que el organismo publique una API pública. DPOLab genera la plantilla y registra el acto, pero la presentación se realiza en el portal oficial de la Agencia.
Una vez presentada la notificación en el portal de la APDP, regístrala en DPOLab indicando la fecha y hora exacta y, opcionalmente, la referencia del archivo presentado. Un segundo intento de registro devuelve un aviso de que la notificación ya fue registrada.
Notifica a los titulares (si corresponde)
Si el árbol de decisión determinó que corresponde notificar a los titulares, selecciona la plantilla de notificación correspondiente, previsualízala con los datos reales y gestiona el envío desde el sistema de correo de tu organización. Luego registra el evento en DPOLab para mantener la trazabilidad.
Revisión y cierre
Cuando la remediación esté completa y todas las notificaciones estén registradas, el flujo de aprobación avanzará hacia el cierre. El estado Cerrada se aplica al aprobarse la última etapa del flujo de gestión. No se puede forzar manualmente mientras el flujo esté activo.
Estados y flujo
| Estado | Descripción | Transición siguiente |
|---|---|---|
| Detectada | Brecha registrada, en evaluación inicial. | En evaluación |
| En evaluación | Árbol de decisión en curso, equipo investigando. | Contenida |
| Contenida | Incidente técnicamente contenido. | Notificada |
| Notificada | APDP y/o titulares notificados. | Cerrada |
| Cerrada | Incidente cerrado, remediación completa. | — |
Campos principales
| Campo | Descripción | Cifrado |
|---|---|---|
| Título | Descripción breve del incidente. | No |
| Detectada el | Fecha y hora de detección. | No |
| Descripción | Narración detallada del incidente. | Sí |
| Vector de ataque | Cómo ocurrió el incidente. | Sí |
| Naturaleza | Tipo de vulneración (confidencialidad, integridad, disponibilidad). | No |
| Efectos | Consecuencias para los titulares. | Sí |
| Categorías de datos afectados | Tipos de datos comprometidos. | No |
| Campos del glosario | Campos específicos del catálogo de datos personales. | No |
| Datos sensibles involucrados | Calculado automáticamente desde el glosario. | No |
| Registros estimados | Número aproximado de titulares afectados. | No |
| Acciones de contención | Medidas para detener el incidente. | Sí (por elemento) |
| Acciones de remediación | Correcciones aplicadas. | Sí (por elemento) |
| Medidas de prevención futura | Para evitar recurrencia (Art. 14 sexies inc. 2). | Sí (por elemento) |
| Corresponde notificar a APDP | Calculado por el árbol de decisión. | No |
| Objetivo interno 72 h | Fecha y hora del objetivo interno de notificación (referencia RGPD, no obligación Ley 21.719). | No |
| Corresponde notificar a titulares | Calculado por el árbol de decisión. | No |
| Notificación APDP registrada el | Fecha y hora de la notificación a la APDP. | No |
Restricciones por plan
| Funcionalidad | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Registro y edición de brechas | Sí | Sí | Sí | Sí |
| Línea de tiempo y auditoría | Sí | Sí | Sí | Sí |
| Vínculo con el RAT | Sí | Sí | Sí | Sí |
| Plantillas de notificación a titulares | Sí | Sí | Sí | Sí |
| Árbol de decisión | No | Sí | Sí | Sí |
| Plantilla para la APDP | No | Sí | Sí | Sí |
| Registro de notificación a la APDP | No | Sí | Sí | Sí |
| Flujos de aprobación configurables | No | Sí | Sí | Sí |
| Integración Wazuh SIEM | No | No | No | Sí |
Los planes Starter tienen acceso básico al módulo. Las funcionalidades avanzadas (árbol de decisión, plantilla APDP, registro de notificación) requieren plan Professional o superior.
Relación con otros módulos
| Módulo | Integración |
|---|---|
| RAT | Identificación de qué actividades de tratamiento quedaron afectadas. Desde el RAT también se ven las brechas pasadas relacionadas. |
| DPIA | Si una brecha afecta actividades con DPIA aprobada, el sistema sugiere reabrir la evaluación de impacto. |
| Planificación | Cada brecha genera automáticamente una tarea urgente de remediación vinculada a la entidad legal. |
| Glosario de datos | Los campos del glosario seleccionados en la brecha permiten derivar categorías y detectar automáticamente datos sensibles según Ley 21.719. |
| Governance | Las brechas abiertas reducen el componente "Brechas" del puntaje de cumplimiento. |
| Flujos de aprobación | El flujo arranca automáticamente al crear la brecha. El cierre requiere aprobación de la última etapa. |
| Wazuh SIEM | Alertas de nivel ≥ 12 generan brechas automáticamente mediante webhook autenticado. Solo disponible en plan Enterprise. |