Las 3 brechas de ciberseguridad más comunes en PyMEs frente a la nueva Ley de Datos (Ley 21.719)
La entrada en vigor de la Ley 21.719 marca un cambio relevante en la forma en que las empresas deben abordar la protección de datos personales. Aunque muchas organizaciones aún asocian el cumplimiento a aspectos legales o documentales, el verdadero desafío está en otro plano: cómo gestionan, protegen y responden frente a los riesgos que afectan esa información en la práctica.
Porque hoy ya no basta con tener políticas o contratos en regla. La ley exige algo más concreto: asegurar la confidencialidad, integridad y disponibilidad de los datos personales. Y eso depende directamente de la ciberseguridad operativa.
En este contexto, hay tres brechas que se repiten de forma consistente en PyMEs y que explican gran parte de su nivel de exposición.
Falta de control y visibilidad sobre los datos
Muchas PyMEs no tienen claridad sobre qué datos personales manejan, dónde están almacenados ni quién tiene acceso a ellos. Esta falta de visibilidad no solo dificulta la gestión interna, sino que también limita la capacidad de cumplir con la normativa.
Sin un inventario de datos ni una clasificación adecuada, es complejo aplicar principios clave de la ley como finalidad, minimización o acceso controlado. Además, responder a solicitudes de clientes o identificar una posible filtración se vuelve mucho más difícil.
En la práctica, esto se traduce en bases de datos dispersas, archivos compartidos sin control y accesos otorgados sin criterios claros.
Medidas de seguridad insuficientes
Otra brecha crítica tiene que ver con los controles de seguridad. Aún es común encontrar accesos sin gestión adecuada, contraseñas débiles o compartidas, sistemas desactualizados y ausencia de mecanismos como respaldos inmutables, autenticación multifactorial o cifrado de información sensible.
La Ley 21.719 establece que las empresas deben implementar medidas de seguridad acordes al riesgo. Esto cambia el estándar: lo que antes era una buena práctica, hoy pasa a ser un requisito mínimo esperable.
El problema no es solo la ausencia de tecnología, sino la falta de una base de controles consistente que reduzca la superficie de ataque.
Falta de preparación ante incidentes
La tercera brecha aparece cuando ocurre un problema. Muchas PyMEs no cuentan con protocolos claros para detectar, contener y gestionar incidentes de seguridad.
Esto incluye desde la ausencia de monitoreo hasta la falta de un plan de respuesta o de lineamientos para notificar una brecha de datos, algo que la nueva ley exige en determinados casos.
Sin esta preparación, el impacto de un incidente no solo es operativo, sino también legal y reputacional. Y, en muchos casos, la reacción improvisada termina agravando la situación.
¿Por qué estas brechas siguen siendo tan comunes?
Más que un problema puntual, esto responde a la forma en que operan muchas PyMEs. La prioridad suele estar en la continuidad del negocio, lo que lleva a decisiones prácticas como compartir accesos, postergar actualizaciones o no formalizar procesos.
A eso se suman limitaciones de recursos y la falta de especialización. La ciberseguridad no siempre tiene un responsable claro, y la visibilidad sobre los riesgos reales suele ser baja.
Además, todavía existe la percepción de que “no somos un objetivo”. Pero la realidad es distinta: los ataques actuales son automatizados y buscan vulnerabilidades básicas, no tamaño de empresa.
Más que cumplimiento, una oportunidad
La Ley 21.719 no exige necesariamente soluciones complejas, pero sí un enfoque estructurado. Entender qué datos se manejan, protegerlos adecuadamente y saber cómo actuar ante un incidente son pilares básicos para avanzar.
Abordar estas tres brechas no solo permite cumplir con la normativa, sino también reducir riesgos operativos y fortalecer la confianza de clientes y socios.
¿Cómo avanzar?
Cerrar estas brechas requiere visibilidad, criterio y un enfoque práctico. No se trata de implementar todo al mismo tiempo, sino de priorizar correctamente y avanzar de forma progresiva.
En Netsus podemos asesorarte en este proceso, con soluciones que se adaptan a la realidad de cada empresa. Desde el diagnóstico de tu nivel de ciberseguridad hasta la implementación de controles y planes de respuesta, el objetivo es ayudarte a cumplir con la Ley 21.719 de forma concreta y sostenible en el tiempo.
