La Ley 21.719 no especifica un plazo de horas para reportar una brecha. Antes de trasladar a un contrato de tratamiento de datos, ajustar las operaciones a plazos específicos o alinear con los plazos en materia de Ciberseguridad, conviene entender qué mide cada uno.
Las empresas que van más adelante en su adecuación a la Ley 21.719 ya llegaron a la etapa de los contratos: están revisando, o redactando, sus acuerdos de tratamiento de datos (el contrato entre quien encarga el tratamiento y quien lo ejecuta, lo que el mercado llama “DPA”) y exigiéndoles a sus proveedores. Y al hacerlo aparece, una y otra vez, una cláusula que merece una segunda mirada: el encargado notificará cualquier vulneración de las medidas de seguridad que genere, o pueda razonablemente generar, un riesgo para los derechos y libertades de los titulares “sin dilación indebida” o en otras palabras “en un plazo razonable”.
Surgiendo la verdadera necesidad: en materia de obligaciones, la certeza jurídica es clave. Si la cláusula dice “sin dilación indebida”, pero nadie sabe realmente cuánto es eso, el deber queda abierto para ambas partes. Por eso, antes de firmar, conviene poder traducir esa fórmula a un número o, al menos, a un estándar defendible.
¿De dónde lo sacamos?
El desafío de los plazos sin definir
El deber de reportar de la Ley 21.719 (artículo 14 sexies, para los que llevan la cuenta) obliga al responsable a reportar a la agencia, porr los medios más expeditos posibles y sin dilaciones indebidas, cuando exista un riesgo razonable para los derechos y libertades de los titulares.
Cuando una obligación no trae plazo escrito, pasa una de dos cosas: o alguien con autoridad lo define, o el mercado lo inventa. La Agencia de Protección de Datos probablemente termine fijando un criterio interpretativo o instrucciones sobre esta materia, pero todavía no existe un estándar administrativo específico. Mientras tanto, cada contrato que se firma pone un número (o ninguno) donde la ley dejó un espacio en blanco. Vale la pena detenerse en cuál.
El origen de la confusión: Las tres horas
Las tres horas existen, pero responden a otro régimen. Vienen de la Ley 21.663, la ley marco de ciberseguridad. Los Operadores de Importancia Vital (bancos, telecos, hospitales, energía) deben mandar una "alerta temprana" al CSIRT Nacional dentro de tres horas desde que toman conocimiento de un incidente.
Y como esos operadores tienen que cumplir ese plazo, algunos lo trasladan hacia abajo: si yo tengo tres horas para avisar, mi proveedor tiene que avisarme a mí en menos. Así la cláusula de tres horas baja por la cadena de contratos hasta aterrizar en un encargado que, muchas veces, no está sujeto al mismo régimen de infraestructura crítica y cuya obligación principal en ese contrato es tratar datos personales.
Alerta temprana vs. Diagnóstico
Una alerta temprana de ciberseguridad y un reporte de brecha de datos no miden lo mismo. La alerta temprana es una señal: algo está pasando, hay que reaccionar. Sirve para contener: aislar el sistema, cortar el acceso, levantar al equipo.
El régimen del artículo 14 sexies apunta a otra cosa. La norma exige reportar determinadas vulneraciones y, además, registrar esas comunicaciones describiendo la naturaleza de la vulneración, sus efectos, las categorías de datos, el número aproximado de titulares afectados y las medidas adoptadas. Eso no es una señal de alarma: es un diagnóstico.
- ¿Eran datos sensibles?
- ¿Había datos de niños menores de catorce años?
- ¿Datos financieros?
- ¿Cuántas personas?
- ¿Qué riesgo real corren sus derechos?
Difícilmente eso puede responderse con seriedad en tres horas, al menos no en la mayoría de los incidentes reales.
Lo interesante es que la propia lógica de la ley de ciberseguridad apunta en la misma dirección. Después de la alerta temprana de tres horas, el operador contempla reportes posteriores, incluyendo una actualización dentro de plazos que pueden llegar a 72 horas, para entregar mayores antecedentes sobre la gravedad e impacto del incidente, y un informe final recién a los 15 días. Es decir: incluso en el mundo de la infraestructura crítica, el análisis no se exige en tres horas.
Las tres horas son para levantar la mano. Las 72 son para entender qué pasó. El deber de reportar de la Ley 21.719 se acerca mucho más a esa segunda lógica.
El estándar de las 72 horas: Una referencia razonable
El GDPR lleva años con esta lógica: el responsable notifica a la autoridad sin dilación indebida y, cuando sea posible, dentro de 72 horas; el encargado, por su parte, avisa al responsable "sin dilación indebida". El número que el estándar comparado ha usado como referencia para darle contenido a esa frase, en materia de datos personales, son 72 horas. Cuando la Ley 21.719 usa casi las mismas palabras "sin dilaciones indebidas", lo razonable es leerlas con esa misma vara, no con una que viene de un régimen distinto y con otra finalidad.
Estrategia contractual: Cómo regular esta obligación
¿Significa esto que el contrato puede contentarse con avisar al tercer día? No. Hay dos relojes distintos y conviene no confundirlos.
El plazo legal corre del responsable hacia la Agencia. Lo que el contrato regula, en cambio, es la notificación del encargado hacia el responsable, y esa tiene que ser más corta, porque el responsable necesita margen para analizar y reportar dentro de su propia ventana. Lo razonable es separar contractualmente dos obligaciones: primero, un aviso inicial inmediato o dentro de un plazo breve desde la detección del incidente; segundo, un reporte estructurado y progresivo con la información disponible, actualizado a medida que avance la investigación, con la información necesaria para que el responsable pueda cumplir su propio deber de reporte dentro de un margen que permita al responsable cumplir oportunamente su propio deber de reporte.
Lo que no tiene sentido es escribir "informe completo de la brecha en tres horas" y firmar. Estás creando una obligación contractual difícil de ejecutar correctamente en un incidente real: probablemente será incumplida precisamente cuando más importa atenderla, porque es físicamente imposible realizarla bien.
Mientras la Agencia no fije un criterio, la lectura que mejor calza con lo que la norma pide es esta: ‘sin dilación indebida’ en datos personales puede construirse contractualmente con la lógica de las 72 horas como referencia razonable, no como plazo automático ni como autorización para esperar hasta el final. No porque 72 sea un número mágico, sino porque reconoce que la obligación exige un análisis, no una alarma y porque conversa con el estándar internacional al que, tarde o temprano, vamos a alinearnos.
Más allá del cronómetro: La importancia de la preparación
Hay, además, un punto que el debate sobre el plazo suele dejar atrás: el número no resuelve el problema por sí solo. Puede pactarse 24, 48 o 72 horas, pero ningún plazo será útil si, cuando llega la brecha, la organización no sabe qué datos trata, de cuántas personas ni en qué sistemas viven. Mapear eso antes del incidente (no durante) es lo que permite responder bien, cualquiera sea el plazo pactado.
