Columnas

¿Y si el silencio sale más caro? El caso Iberia y las consecuencias reputacionales de la notificación de brecha de seguridad en Chile

Equipo EstadoDiario noviembre 26, 2025

Por Ghislaine Abarca | Asociada del área de protección de datos personales de ECIJA Chile

En los últimos días volvimos a ser testigos de incómodos titulares relacionados a la industria del transporte aéreo: un proveedor de Iberia sufrió un acceso no autorizado a sus sistemas, lo que comprometió la confidencialidad de los datos de algunos clientes de la aerolínea. Este incidente no solo expone la fragilidad de las cadenas de suministro digitales, sino que demuestra, una vez más, que los ataques están siendo dirigidos hacia los proveedores. Las brechas de seguridad no solo generan consecuencias inmediatas para las organizaciones, sino que también pueden ser utilizadas como antesala para campañas futuras, orientadas al robo de datos y al phishing hiperpersonalizado, lo que generaría problemas para la organización a futuro. Mientras todo esto ocurre, el tercero responsable suele mantenerse fuera del foco público, no aparecerá en medios ni en redes sociales, siendo finalmente la organización la que enfrenta el desgaste reputacional.

Ghislaine Abarca

Frente a esta posible afectación reputacional, surge otra interrogante: ¿Cuándo se debe (o conviene) informar de la brecha de seguridad a los titulares de los datos personales?

En Chile, la Ley N° 19.628 y su modificación por la Ley N° 21.719, sobre Protección de los Datos Personales señala que, cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños menores de catorce años o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá efectuar obligatoriamente una comunicación a los titulares de estos datos. Sin embargo, la ley no impone esta obligación en todos los casos, por lo que la decisión recae en la organización, que deberá evaluar cuidadosamente el riesgo y las implicancias de comunicar o no la brecha.

En los casos en que no existe una obligación legal de informar a los titulares, muchas compañías terminaran tratando esta decisión como un asunto editorial o un cálculo estratégico. Evaluarán el riesgo reputacional, únicamente desde la óptica de “evitar ser noticia”, asumiendo el silencio como una estrategia sostenible.

Cuando una filtración de datos personales ocurre en manos de un tercero, el incentivo a demorar la comunicación de ésta al titular puede aumentar: muchos actores involucrados, múltiples causas que explicar, más dedos apuntando. Pero las personas ya no castigan a las empresas por tener incidentes de seguridad, porque nadie está libre, castiga la opacidad, la demora y la minimización de las consecuencias. Las organizaciones deben entender que la reputación ya no se juega en evitar el incidente y en hacer como si nunca existió, sino en cómo se gestiona y se comunica.

Y aquí aparece un tema relevante para el nuevo ecosistema en Chile: ¿Están las empresas realmente preparadas para notificar brechas a los titulares? ¿Conocen los flujos internos? ¿Saben qué proveedores y terceros tienen acceso real a los datos personales que tratan?

Las empresas suelen realizar auditorías a sus proveedores al inicio del contrato, pero muy pocas continúan con una supervisión regular, y casi ninguna se mapean adecuadamente a los subencargados del tratamiento. Estos eslabones, muchas veces terminan convirtiéndose en el punto más débil de la cadena. Y es que la protección de datos y la ciberseguridad ya no se deben entender empresa por empresa, sino como un ecosistema completo, interdependiente, que puede generar efectos en cadena para todos. En esta línea, si la organización aún debate cuándo conviene informar a sus usuarios y cuándo no, entonces la verdadera discusión no es comunicacional, es de gobernanza.

Cuando estamos frente a un incidente o brecha de seguridad de datos personales, el tiempo corre en contra y solo juega a favor de los atacantes. Cada minuto que pasa aumenta el riesgo para los titulares, complica la justificación de la demora y hace más difícil de explicar ante la Agencia de Protección de Datos Personales.

El caso Iberia es entonces una advertencia y un aprendizaje para el mercado chileno: la reputación ya no se protege con silencio, y las brechas no son un problema tecnológico, son un problema de confianza, confianza que una vez perdida no se recupera con un comunicado tardío ni con un cambio de proveedor.

Y esa pérdida de confianza de clientes y socios comerciales puede generar impactos económicos millonarios, incluso antes de considerar las sanciones que podrían imponerse desde la futura Agencia de Protección de Datos Personales por incumplimientos en los deberes de seguridad y de información. Así las cosas, queda en evidencia que el silencio, lejos de proteger a las empresas y a su reputación, termina siendo más costoso. La transparencia ya no es una opción, sino un estándar de confianza y, sobre todo, la única estrategia sostenible para enfrentar un entorno donde las brechas no son una excepción, sino una certeza.

Equipo EstadoDiario

Artículos relacionados

agosto 24, 2020

¿La vacuna contra el COVID-19 será obligatoria o voluntaria?

mayo 26, 2020

La otra consecuencia de la pandemia: las eventuales expropiaciones

octubre 6, 2021

El proyecto pro consumidor y el compliance de las empresas

julio 29, 2024

Mitos y verdades del Data Protection Officer (DPO) Entrega 3: El DPO y su misión, ¿cómo resolver los desafíos propuestos por un entorno cambiante?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

© Estado Diario 2025, Derechos reservados
Close
Close