Notificación de brechas de datos bajo la nueva ley (2026)

Notificación de brechas de datos bajo la nueva ley: una explicación clara y basada en hechos para las empresas chilenas, con el ejemplo de osFoundry y dgm como socio independiente.

dgm es un socio independiente de implementación de osFoundry: no está vinculado con la empresa que desarrolla osFoundry (OS LLC) y todavía no ha completado ninguna integración para clientes.

La notificación de brechas de datos es una de las novedades de la Ley 21.719: cuando un incidente de seguridad ponga en riesgo los datos personales, habrá que notificar a la Agencia de Protección de Datos Personales.

La regla

Bajo la Ley 21.719, el responsable debe notificar a la APDP por el medio más expedito posible y sin dilaciones indebidas cuando un incidente genere un riesgo para los derechos de las personas, y notificar directamente a los afectados en casos como los datos sensibles, de niños, o financieros. Es un cambio frente al marco actual de la Ley 19.628.

Qué significa para los proyectos de IA

Si un componente de IA o de nube trata datos personales, incorpóralo a tu plan de gestión de incidentes: detección, evaluación del umbral de notificación y los plazos. Minimizar los datos personales y mantenerlos bajo control (autohospedaje o estrictamente acotados) reduce la probabilidad y el alcance de un incidente.

Mantener los datos en Chile

osFoundry fija la región de los datos en Estados Unidos, la Unión Europea o Japón, ejecuta los modelos de forma local sobre tu propio hardware y admite el autohospedaje en una cuenta de nube que tú controlas (BYO Cloud). Conviene ser honestos sobre la realidad en Chile: osFoundry no tiene una región gestionada en el país, pero sí existen regiones de nube físicamente en Chile para autohospedar — Google Cloud (southamerica-west1, en Santiago, disponible desde 2021), Microsoft Azure (Chile Central, disponible desde junio de 2025) y Oracle (Santiago y Valparaíso) — mientras que la región de AWS en Chile fue anunciada pero a junio de 2026 todavía no está disponible (la más cercana es São Paulo, en Brasil). La nueva Ley 21.719 (que rige desde el 1 de diciembre de 2026) no impone una obligación general de localización de datos al sector privado, de modo que un proveedor en la UE también puede ser válido; pero, a diferencia de Argentina, Chile no cuenta con una decisión de adecuación de la Unión Europea, por lo que las transferencias hacia la UE se apoyan en otras garantías. Un punto importante: los datos alojados en un proveedor con sede en los Estados Unidos pueden quedar alcanzados por la CLOUD Act estadounidense con independencia de dónde estén almacenados físicamente; elegir una región en Chile fija la ubicación del dato, pero no la jurisdicción —por eso, en los casos más sensibles, un proveedor no estadounidense o un modelo de pesos abiertos autohospedado es la respuesta más fuerte—. Los requisitos concretos conviene verificarlos con la futura Agencia de Protección de Datos Personales o con asesoría legal especializada.

Importante

Este artículo es información general y no constituye asesoría legal, tributaria ni sobre incentivos. Los beneficios, regímenes, reglas y tasas cambian, y la elegibilidad y el otorgamiento los deciden exclusivamente los organismos competentes —entre ellos el SII, CORFO, ANID, SERCOTEC, la CMF y la futura Agencia de Protección de Datos Personales—. dgm no es un Centro de I+D acreditado por CORFO ni un proveedor registrado de incentivos, ni un intermediario. Verifica siempre las condiciones vigentes en la fuente oficial o consulta con un contador o abogado.

Artículos relacionados

• La regulación de la IA en Chile
• Residencia de datos en Chile
• Cómo implementar IA paso a paso

Cómo te ayuda dgm

dgm es un socio independiente de implementación que ayuda a las empresas en Chile a poner en marcha la plataforma osFoundry —desde encontrar el primer caso de uso práctico hasta construirlo y conectar la IA con los sistemas que ya usas—. dgm trabaja de forma independiente de la empresa que desarrolla osFoundry (OS LLC) y todavía no ha completado ninguna integración para clientes; por eso, lo anterior describe el servicio que ofrece, no un resultado ya alcanzado. Si quieres pensar un primer paso sensato, en dgm lo analizamos contigo. Conversemos en una reunión sin compromiso.