🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos

juanhernandez@preyhq.com
Juan H.
Mar 9, 2026
0 minutos de lectura
Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

A diferencia de las certificaciones ISO, donde se prepara documentación para validar un estándar, una visita de la Agencia de Protección de Datos suele ser reactiva. Como hemos visto en otras agencias de protección de datos (UE, MX, BR entre otras), generalmente se inicia por una denuncia o por la notificación obligatoria de una brecha, lo que cambia la dinámica: no buscan validar el cumplimiento general, sino entender la causa raíz de un fallo específico.

Por ello, el fiscalizador no busca completar un formulario de requisitos. Su enfoque es detectar inconsistencias en el relato técnico. Si el diagrama de arquitectura promete aislamiento de datos, pero los logs muestran accesos indiscriminados, esa discrepancia será el foco de la investigación, invalidando cualquier política escrita que afirme lo contrario. Por eso en este artículo te guiaremos para preparar a tu equipo de TI ante estas fiscalizaciones.

Las 3 áreas críticas que TI debe revisar durante una validación técnica

Para un fiscalizador, la documentación legal es solo el punto de partida. La verdadera auditoría ocurre cuando contrastan esos papeles con la realidad operativa de los sistemas. Existen tres áreas importantes a cubrir donde la discrepancia entre lo que dice la política y lo que ejecuta la infraestructura suele generar las mayores inquietudes.

1. La integridad del inventario de datos

La normativa exige saber dónde están los datos, pero el desafío para TI no solo está en las bases de datos principales, también está en la periferia. Un fiscalizador buscará activamente lo que no está en el diagrama oficial: los "datos en la sombra" alojados en ambientes de desarrollo, respaldos locales o servicios en la nube contratados por otras áreas.

Un fiscalizador incisivo planteará interrogantes que buscan exponer la falta de gobernanza de datos:

  • "¿Los ambientes de desarrollo y QA utilizan datos reales anonimizados o copias directas de producción?"
    Esta pregunta busca identificar violaciones al principio de minimización. Si los desarrolladores trabajan con datos reales (nombres, RUTs, correos) sin enmascarar, la organización ha duplicado su superficie de riesgo innecesariamente y ha expuesto información a personal que no requiere verla para probar código.
  • "¿Qué control técnico impide que un usuario descargue una base de datos completa a su equipo local o USB?"
    No basta con prohibirlo en el reglamento interno. El fiscalizador verificará si existen controles técnicos, como bloqueos de puertos, alertas de DLP (Data Loss Prevention) o restricciones de descarga. Si la respuesta depende únicamente de la buena voluntad del usuario, la medida de seguridad resulta insuficiente.
  • "¿Cómo garantiza que los datos recolectados por proveedores externos están integrados en este inventario?"Muchas áreas de marketing o recursos humanos contratan SaaS sin pasar por TI. El fiscalizador busca confirmar si TI tiene un mapa real de la información o si existen silos de datos personales gestionados por terceros sin supervisión de seguridad.

Evidencia documental clave para este punto:

Para validar este punto, la Agencia no se conformará con un diagrama de arquitectura estático; buscará registros de ejecución que demuestren el control activo sobre el flujo de datos. La evidencia debe acreditar que existen barreras técnicas reales impidiendo la proliferación descontrolada de información personal hacia entornos menos seguros o dispositivos no gestionados.

  • Scripts de anonimización: El log de ejecución que demuestra que los datos copiados a QA pasaron por un proceso de enmascaramiento antes de ser accesibles para los desarrolladores.
  • Reportes de bloqueo DLP o MDM: logs del endpoint o del firewall que muestren intentos fallidos de copiar archivos a USB o de subir archivos a nubes no autorizadas, lo que demuestra que el control es activo y no teórico.
  • Inventario de Activos de Información (actualizado): Un documento vivo que liste no solo servidores propios, sino también los proveedores SaaS, detallando qué tipo de datos procesan (conforme al Art. 49, letra c de la ley).
Lectura relacionada
Inventario de datos: por qué sin visibilidad real no hay cumplimiento
Conoce como construir un inventario de datos personales sin paralizar a tu equipo.

2. La capacidad de reconstrucción forense

Con la entrada en vigencia de plazos estrictos para el reporte de incidentes (72 horas en la nueva normativa), la capacidad de respuesta es una métrica auditable. No basta con informar que una vulnerabilidad fue parchada ya que la agencia exigirá la trazabilidad completa del evento. Sin logs centralizados e inmutables, la empresa no puede cumplir con su obligación de notificación precisa.

El escrutinio se puede centrar en la calidad y disponibilidad de la evidencia:

  • "¿Puede demostrar con logs la hora exacta del primer acceso no autorizado, no solo cuándo saltó la alerta?"
    Esta distinción es crítica. La "ventana de exposición" (el tiempo que el atacante estuvo dentro antes de ser detectado) determina la gravedad de la sanción. Si TI no puede establecer el momento de entrada, se asume el peor escenario posible.
  • "¿Qué evidencia técnica confirma que la exfiltración se limitó a estos registros específicos y no a toda la tabla?"
    Ante una fuga, las empresas tienden a minimizar el impacto. El fiscalizador pedirá pruebas de la "acotación" del incidente. Si los logs de base de datos no tienen el nivel de detalle suficiente para ver qué filas fueron consultadas, la empresa deberá notificar a toda la base de usuarios por precaución, causando un daño reputacional masivo.
  • "¿Dónde se almacenan los logs de auditoría y quién tiene permisos para modificarlos o borrarlos?"
    Busca verificar la integridad de la prueba. Si los logs se guardan en el mismo servidor comprometido o si el administrador del sistema tiene permisos para borrar su propio rastro, la evidencia carece de valor legal y se sospechará de encubrimiento.

Evidencia documental clave para este punto:

Aquí la documentación debe certificar la integridad y la granularidad de la "caja negra" de la organización. El fiscalizador requiere garantías técnicas de que la historia del incidente no ha sido alterada post-factum y que la capacidad de observación es lo suficientemente detallada para distinguir entre un acceso inocuo y una exfiltración masiva, limitando así el alcance de la responsabilidad legal.

  • Bitácora del SIEM o Syslog centralizado: Archivos con timestamp que correlacionen eventos de red y aplicación, demostrando la línea de tiempo del ataque sin lagunas.
  • Logs de Auditoría de Base de Datos (Query Logs): Registros granulares que muestren las sentencias SQL ejecutadas (SELECT, UPDATE), vitales para probar que el atacante solo vio 50 registros y no la base completa.
  • Configuración de Inmutabilidad (WORM): Captura de pantalla o configuración que demuestre que los logs se envían a un repositorio de "Write Once, Read Many", impidiendo su borrado incluso con credenciales de administrador.

3. La aplicación efectiva de privilegios

Las políticas corporativas suelen declarar el principio de "mínimo privilegio", pero la inspección técnica verificará su configuración real en el directorio activo o los gestores de identidad. Los hallazgos típicos que desmoronan la defensa legal incluyen cuentas genéricas compartidas o accesos heredados que nunca se revocaron.

Las preguntas en este frente buscan romper la presunción de control de accesos:

  • "¿Por qué existen cuentas de servicio con permisos de 'Domain Admin'?"
    Es un atajo técnico habitual para evitar configuraciones complejas. Para la Agencia, representa una vulnerabilidad crítica: una sola cuenta comprometida entrega el control total, demostrando negligencia en la arquitectura de seguridad.
  • "Al cruzar la lista de desvinculaciones de RRHH con los logs de acceso, ¿encontramos actividad posterior a la salida?"
    Esta es la prueba definitiva del proceso de offboarding. Si un empleado fue despedido el viernes y su cuenta registró actividad el sábado porque TI no la bloqueó a tiempo, existe una brecha procedimental grave que expone información a terceros.
  • "¿Cuándo fue la última recertificación de accesos y qué cuentas fueron revocadas como resultado?"
    Tener un proceso de alta de usuarios es estándar; tener uno de revisión es raro. Si la respuesta es "nunca revisamos", el sistema estará lleno de "privilegios acumulados" (personas que cambiaron de rol pero mantuvieron los accesos anteriores), violando el principio de necesidad de saber.

Evidencia documental clave para este punto:

La evidencia en este apartado tiene como objetivo contrastar la intención de la política con la realidad de los permisos vigentes. Se busca trazar el ciclo de vida completo del acceso (alta, cambio y baja) para demostrar que no existen "usuarios fantasmas" ni privilegios acumulados por inercia, transformando el principio de "necesidad de saber" en una métrica auditable y verificable.

  • Reporte de cruce (Tickets de baja vs. Logs de Active Directory): Una comparativa simple que muestre la fecha de solicitud de desvinculación versus la fecha efectiva de bloqueo de la cuenta. Cualquier acceso posterior a la fecha de baja es un hallazgo negativo.
  • Inventario de Cuentas de Servicio y Privilegios: Documento que justifique técnicamente por qué cada cuenta de servicio requiere los permisos asignados, demostrando que no se otorgan permisos de administrador por defecto.
  • Acta de Recertificación de Accesos: Registro firmado por los dueños de los datos (Business Owners) validando trimestral o semestralmente quién tiene acceso a sus carpetas o sistemas, evidenciando una limpieza proactiva de permisos obsoletos.

Qué logs y reportes realmente sirven: Evidencia vs. Papel Mojado

Existe una brecha operativa entre lo que dictan los manuales de procedimiento y la realidad de los servidores. Para la Agencia, una política de seguridad firmada es, en el mejor de los casos, una declaración de intenciones y debido a esto, en un escenario de fiscalización se impone una regla binaria: si el sistema no lo registró, no sucedió.

Para preparar la defensa, es vital distinguir entre documentación administrativa (débil) y evidencia forense (robusta):

Lo que el fiscalizador descartará (Papel Mojado)

  • Manuales operativos estáticos: Describir funciones de seguridad —como cifrado o autenticación doble factor— en un PDF o Notion empresarial no prueba que estuvieran activas y configuradas correctamente en el momento del incidente.
  • Cláusulas de confidencialidad: Tener contratos firmados con empleados no exime de responsabilidad si no existen controles técnicos (como bloqueos DLP) que impidan materialmente la extracción de archivos.
  • Bitácoras manuales: Los reportes de incidentes llenados en hojas de cálculo editables carecen de integridad probatoria, ya que permiten la modificación retroactiva para ajustar la cronología de los hechos.

Lo que constituye prueba de "Responsabilidad" (Evidencia Real)

  • Logs centralizados e inmutables: Registros de SIEM o servidores dedicados que demuestren quién accedió, desde qué IP y en qué momento preciso, sin posibilidad de manipulación por parte del administrador local.
  • Reportes de escaneo de vulnerabilidades: No basta con tener una política de parches mensuales; la evidencia que exonera es el reporte técnico del escáner (con fecha cierta) que confirma el cierre de la brecha antes del ataque.
  • Trazabilidad de consultas: Auditoría automática de bases de datos que registre no solo las modificaciones (UPDATE/DELETE), sino también las consultas masivas (SELECT) y las exportaciones. Esto permite acotar el daño y demostrar control sobre el flujo de información.

Red Flags Técnicas: Errores que agravan las multas

En la gestión de crisis, el instinto natural de un equipo de TI es "apagar el incendio" y, a menudo, minimizar la visibilidad del daño. Sin embargo, bajo la óptica de la Ley 21.719, la honestidad técnica es el activo más valioso. Un fallo de seguridad puede catalogarse como una infracción "grave" , pero intentar ocultarlo o manipular la evidencia eleva la falta automáticamente a "gravísima" , duplicando el techo de la multa hasta las 20.000 UTM.

Los fiscalizadores están entrenados para detectar discrepancias entre el relato humano y la evidencia digital, incluso es mejor entrenar al equipo TI ante este escenario. Existen tres comportamientos específicos que pueden actuar como aceleradores de sanciones:

1. La falsa contención: Mentir sobre el alcance

Declarar que una brecha afectó "solo a 100 usuarios" cuando los logs sugieren una extracción completa de la tabla puede resultar en sanciones. El artículo 34 quáter de la ley tipifica como infracción gravísima el comunicar "a sabiendas, información no veraz, incompleta, inexacta o desactualizada". Si la investigación forense de la Agencia descubre que TI conocía la magnitud real y decidió maquillar el reporte preliminar, la organización pierde cualquier atenuante de colaboración y enfrenta la máxima severidad de la ley por actuar de mala fe.

Cómo evitarlo:La estrategia correcta es el reporte incremental. La ley exige notificar "sin dilaciones indebidas", pero no obliga a tener todas las respuestas en el primer minuto. Es preferible informar que el alcance está "en investigación" a cerrar una cifra prematura que luego los logs desmientan. Establece un protocolo donde Legal y TI validen los reportes técnicos antes de enviarlos, asegurando que cada afirmación tenga un respaldo digital trazable en el registro de incidencias que exige la normativa.

2. La seguridad fantasma: Cifrado que no existe

Es común que, en los cuestionarios de cumplimiento, se marque la casilla de "base de datos cifrada" basándose en una configuración futura o teórica. Si ocurre un incidente y la Agencia verifica que los datos estaban en texto plano, la infracción se agrava. El artículo 14 quinquies exige medidas implementar técnicas apropiadas para cumplir el principio de seguridad, como la seudonimización y el cifrado.

Declarar medidas de seguridad inexistentes no solo viola dicho principio, sino que constituye una negligencia manifiesta que elimina la posibilidad de alegar "diligencia debida" como defensa.

Cómo evitarlo:La solución reside en la auditoría de configuración real, no documental. Implementa un proceso de verificación regular de la eficacia de las medidas técnicas, tal como lo sugiere la ley. Si el cifrado impacta el rendimiento y no es viable operativamente, documéntalo y aplica medidas compensatorias (como tokenización o segregación estricta), pero jamás declares ante la autoridad un control técnico que no está activo en el entorno de producción.

3. "Limpieza" de evidencia: Obstrucción a la fiscalización

Durante el pánico de un ataque, algunos administradores borran logs para "ahorrar espacio" o reinstalan servidores afectados sin realizar una imagen forense previa. Para un fiscalizador, esto podría no verse como mantenimiento sino como destrucción de evidencia.

La ley faculta a la Agencia para requerir cualquier documento o antecedente necesario. Si TI elimina los rastros necesarios para determinar la causa raíz, se configura una obstrucción que impide a la autoridad ejercer sus funciones, lo cual puede derivar en sanciones accesorias como la suspensión de las operaciones de tratamiento de datos.

Cómo evitarlo:La prevención requiere un protocolo de "congelamiento de escena". Instruye a los administradores para que, ante una alerta, la prioridad sea aislar la máquina de la red, no apagarla ni borrarla. Automatiza el envío de logs a un repositorio externo inmutable para asegurar que, incluso si un administrador borra los registros locales por error o pánico, la evidencia histórica permanezca intacta para la defensa y el cumplimiento del deber de reporte.

Aquí tienes la última sección del artículo, diseñada para ofrecer un plan de acción claro, priorizado y libre de pánico, alineado con las exigencias de la Ley 21.719.

Roadmap de supervivencia: Qué arreglar hoy y qué dejar para mañana

La implementación de la Ley 21.719 más que perfección inmediata pide diligencia demostrable. Intentar abordar la totalidad de los requisitos en una semana solo genera parálisis. La estrategia inteligente consiste en priorizar aquellos elementos que, de faltar ante un incidente, garantizan una sanción, y postergar aquellos que requieren maduración burocrática.

Para evitar la paranoia, dividiremos el trabajo en dos fases: lo urgente (para sobrevivir a una fiscalización reactiva) y lo estructural (para cumplir con el estándar a largo plazo).

Prioridad 1: Lo que debes resolver hoy (Urgente)

Estos elementos son binarios: los tienes o no los tienes. Su ausencia ante una brecha es indefendible.

  • El mapa de "Datos Críticos": No intentes inventariar cada archivo de la organización. Céntrate exclusivamente en identificar dónde residen los datos sensibles (salud, biometría) y los financieros. La ley castiga con mayor severidad la vulneración de estas categorías. Debes saber en qué servidor están y quién es el dueño técnico.
  • El "Botón Rojo" de reporte: Configura un canal de comunicación interno exclusivo para incidentes de seguridad y define quién tiene la autoridad para declarar una brecha. El plazo de reporte a la Agencia es extremadamente acotado ("sin dilaciones indebidas"). Si pierdes tiempo decidiendo a quién avisar, incumplirás el plazo legal.
  • Cierre de accesos huérfanos: Ejecuta un barrido inmediato de cuentas activas. Bloquea usuarios de excolaboradores y cuentas de proveedores inactivos. El acceso no autorizado es una infracción directa al principio de seguridad.

Prioridad 2: Lo que puedes planificar para mañana (Estructural)

Son tareas vitales, pero consumen tiempo de negociación y redacción. Pueden avanzar en paralelo sin detener la operación.

  • Adecuación de contratos con proveedores: El artículo 15 bis exige que los encargados de tratamiento (vendors que procesan tus datos) firmen cláusulas específicas de responsabilidad y seguridad. Inicia este proceso con el área legal, pero no permitas que frene las medidas técnicas urgentes.
  • Designación del Delegado de Protección de Datos (DPO): Aunque la figura del DPO es central en el modelo de prevención, encontrar al perfil adecuado toma tiempo. Es preferible operar temporalmente con un comité de seguridad activo que nombrar a alguien sin las competencias solo por cumplir.
  • Política de retención y borrado: Definir cuándo eliminar datos antiguos es complejo operativa y legalmente. Comienza por no recolectar más de lo necesario (minimización) mientras defines las reglas de purgado automático.

Rutinas mínimas de higiene digital

Para mantener este orden, TI debe integrar tres hábitos inquebrantables en su operativa semanal. Estas rutinas constituyen la mejor evidencia de que existe un "Modelo de Prevención" activo:

  1. Revisión de logs de excepción: No mires todo; revisa semanalmente los intentos de acceso fallidos y los escalamientos de privilegios.
  2. Prueba de restauración: El backup no sirve si no restaura. La ley exige explícitamente (Artículo 14 quinquies, letra c) la capacidad de restaurar la disponibilidad de los datos de forma rápida. Documenta una prueba de restauración al mes.
  3. Certificación de parches: Mantén al día los sistemas críticos. Si no puedes parchar por obsolescencia tecnológica, aísla ese servidor y documenta la medida compensatoria.

De la reacción técnica a la estrategia legal

La primera defensa ante la Agencia es la cultura del equipo. Bajo la Ley 21.719, una respuesta visceral ante una crisis, como borrar registros para "limpiar",  puede escalar una sanción de grave a gravísima. Sin embargo, igual de peligroso es "dormirse" confiando en la vacancia legal: la inacción hoy se convierte en una deuda técnica muy difícil de pagar mañana.

Es vital entrenar a los administradores para que entiendan que un comando mal ejecutado por pánico puede interpretarse como obstrucción, y que la falta de preparación previa elimina cualquier posibilidad de demostrar diligencia debida. Superar una fiscalización depende de los fundamentos.

Cubrir las bases operativas, como inventarios reales, trazabilidad inmutable y control de accesos constituye la evidencia tangible que exige la ley.

Frequently asked questions

No items found.

Sobre el mismo tema

DPO, TI y negocio: cómo repartir responsabilidades sin fricción
DPO, TI y negocio: cómo repartir responsabilidades sin fricción

Aprende cómo se reparten las responsabilidades entre el DPO, el Responsable de Datos y TI según la Ley 21.719 y evita el “compliance huérfano”.

Mar 9, 2026
Continuar leyendo
Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos
Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos

En una fiscalización de la Ley 21.719 las políticas no bastan: qué evidencia técnica realmente revisa la Agencia de Protección de Datos.

Mar 9, 2026
Continuar leyendo
Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes
Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes

Conoce las nuevas instrucciones de ANCI sobre cómo reducir el impacto y la propagación de incidentes.

Mar 6, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar