Reforma a la reforma de la Ley sobre Datos Personales

/en , /por

El Teléfono Descompuesto Legislativo o cómo una sentencia europea terminó justificando una reforma a la reforma de la Ley sobre Datos Personales

Catherine Munoz Gutiérrez

Catherine Munoz Gutiérrez

Abogada | Consultora en Protección de Datos, Ciberseguridad y Regulación Tecnológica | Especialista en Cumplimiento Normativo y Gobernanza de IA | Asesora Legislativa Internacional | CEO Idónea

 

En Luxemburgo, un tribunal resolvió un caso muy específico sobre la seudonimización. En Bruselas, una comisión política tomó ese fallo y lo convirtió en pieza de un paquete regulatorio con una agenda mucho más amplia. En Valparaíso, tres senadores importaron esa propuesta, sin ir a la fuente, como justificación para reformar una ley que todavía no rige.

Así nació el Boletín N° 18.060-07 una reforma chilena a la reforma de Ley sobre Datos Personales . Y un gran ejemplo de como funciona el «teléfono descompuesto legislativo» (me dicen que el juego se llama solo «el teléfono», me disculpo de mis términos boomer).

Chile promulgó en 2024 una ley de protección de datos inspirada (reproduciendo casi en un 100%) en el GDPR europeo. En 2026, antes de que entre en vigencia, ya quiere reformarla porque Europa insinúa que el GDPR es demasiado rígido. Si esto suena a copiar la respuesta del compañero sin entender la pregunta, es exactamente lo que es.

Disclaimer: mi postura es que la Ley 19.628, reformada por la Ley 21.719, de que necesita ajustes, los necesita. El consentimiento como regla general es un error: todas las bases de licitud deben operar en igualdad, sin jerarquía, y en muchos casos el consentimiento simplemente no funciona, lo sabemos porque Europa ya recorrió ese camino. El modelo de prevención de infracciones tiene un problema de base que se traduce en la imposibilidad de calibrar los riesgos adecuadamente, es necesario reforzar el ejercicio abusivo del derecho de acceso (ya hemos visto ese desastre y negocio mal habido que se ha creado en Europa), y algunos artículos están redactados con una ambigüedad que invita al litigio, pero eso es para otra discusión.

Hoy no escribo sobre el qué. Es sobre el cómo. Y el cómo, en este caso, es un desastre metodológico que merece ser contado, y este es un super buen ejemplo.

La enfermedad, no el síntoma

Sería fácil reducir esta historia a un problema de citas mal hechas. No lo es. El teléfono descompuesto es el síntoma. La enfermedad es bastante más grave y tiene al menos cuatro órganos comprometidos.

  • Uno. Se confunde propuesta con derecho vigente. El Boletín presenta la propuesta Digital Omnibus de la Comisión Europea como si fuera un hecho consumado. No lo es. Es un borrador que enfrenta oposición técnica feroz de académicos, autoridades de protección de datos y organizaciones de la sociedad civil. El Parlamento Europeo no se ha pronunciado. El Consejo tampoco. Construir una reforma nacional sobre una propuesta extranjera cuyo destino nadie conoce es construir sobre arena.
  • Dos. Se importa el diagnóstico sin verificar si el paciente es el mismo. La presión desregulatoria europea tiene un nombre propio: el Informe Draghi (o quizás dos Trump). Y un diagnóstico específico: la UE pierde competitividad frente a EE.UU. y China tras dos décadas de regulación digital intensiva. Demasiadas reglas, acumuladas demasiado rápido, sobre un mercado que compite con rivales que no las tienen. Chile no tiene ese problema. Chile tiene el problema exactamente inverso: una ley de protección de datos de 1999 que durante veinticinco años no protegió prácticamente nada. Aplicar la medicina de un paciente con exceso de regulación a uno con déficit crónico es como prescribir dieta a alguien desnutrido. El resultado no va a ser bueno.
  • Tres. Se legisla sin identidad regulatoria propia. En 2017, Chile decidió que el GDPR era el estándar de oro. En 2024, lo promulgó con orgullo. En 2026, quiere reformarlo porque Europa dice que quizás fue demasiado lejos. Tres posiciones en menos de una década, sin que la ley haya producido un solo efecto jurídico. Eso no es adaptabilidad. Es dependencia disfrazada de modernidad.
  • Cuatro. Se quema el terreno para reformas futuras. Hay problemas reales en la ley que necesitan solución. Este boletín menciona varios, aunque los estructura mal. El daño de fondo no es lo que propone es lo que deja detrás: cada reforma mal fundamentada le sube el costo de credibilidad a la siguiente. Quien mañana traiga una propuesta rigurosa va a cargar con el peso de este precedente.

Estos problemas no son exclusivos del Boletín N° 18.060-07. Son patrones. Son la forma en que Chile legisla sobre temas digitales y tecnología: mirando hacia afuera con un ojo cerrado (como el proyecto de Ley sobre IA).

Ahora veamos cómo se distorsionó el mensaje en cada escala. Porque el diablo, como siempre, está en los detalles. (o acompáñenme a ver esta triste historia)

Primera escala: Luxemburgo

El caso EDPS v. SRB (C-413/23 P, sentencia del 4 de septiembre de 2025) es de esos fallos que todo el mundo cita y casi nadie lee completo. La versión que circula cabe en un tuit: “los datos seudonimizados ya no son datos personales”. La realidad ocupa 112 párrafos de matices que hacen que esa frase sea, en el mejor de los casos, una simplificación peligrosa.

Los hechos son tan específicos que casi parecen diseñados para un examen de derecho. La SRB la Junta Única de Resolución bancaria de la UE había recopilado más de 23.000 comentarios de accionistas y acreedores del Banco Popular Español tras su resolución en 2017. Los procesó con un cuidado inusual: eliminó nombres, asignó códigos alfanuméricos de 33 dígitos vinculados a cada comentario no a cada persona, fusionó duplicados y los agregó por tema. Después transfirió 1.104 de esos comentarios seudonimizados a Deloitte, a través de un servidor seguro, para una valoración técnica. Deloitte recibió datos brutos sin ninguna “llave” de reidentificación, sin acceso a la base de datos de la SRB y sin medios legales para exigirlo.

Hasta aquí, seudonimización de libro de texto. Pero varios afectados se quejaron ante el Supervisor Europeo de Protección de Datos: nadie les había informado que sus comentarios viajarían a un tercero. El EDPS les dio la razón. La SRB recurrió. El Tribunal General anuló la decisión del EDPS. El EDPS apeló. Y en septiembre de 2025, el Tribunal de Justicia de la UE puso punto final.

Aquí es donde la historia se pone interesante y donde la mayoría de los comentaristas dejó de leer.

Lo primero que hizo el Tribunal y por supuesto lo que la moción chilena ignora por completo fue reafirmar expresamente toda su jurisprudencia anterior. La más estricta. En los párrafos 81 a 85, la Corte dejó claro que la excepción que venía a continuación no debía leerse fuera de ese marco:

  • OC v. Commission: Si declaraciones sobre una persona permiten “razonablemente” al público identificarla combinándolas con datos disponibles en internet estamos ante dato personal.
  • Breyer e IAB Europe: Datos que son en sí mismos impersonales se vuelven personales si quien los tiene puede obtener de un tercero la información que permite reidentificar. Basta con que existan canales legales para esa obtención.
  • Párrafo 84: Gesamtverband: Y aquí viene lo crucial. El Tribunal recordó que datos completamente impersonales se vuelven personales cuando se ponen a disposición de alguien que sí puede identificar. Y no solo para ese alguien también, “indirectamente”, para quien los transfirió. La calificación opera hacia atrás en la cadena.

Párrafo 85: La Corte unió los hilos: si no puede descartarse que terceros tengan medios razonables para atribuir datos seudonimizados al titular como cruzarlos con otros datos a su disposición “el titular debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior”.

Párrafo 86: Solo entonces vino la excepción: los datos seudonimizados no deben considerarse, en todos los casos y para toda persona, datos personales, “en la medida en que la seudonimización pueda, dependiendo de las circunstancias del caso, prevenir efectivamente que personas distintas del responsable identifiquen al titular.”

¿Ven la sutileza? (igual no es muy facil) El párrafo 86 abre una puerta: los datos seudonimizados no son automáticamente personales para todo el que los toca. Si la seudonimización efectivamente impide que un receptor específico identifique a la persona, para esereceptor no son datos personales. Pero el párrafo 85 se asegura de que esa puerta sea estrecha.

El Tribunal advierte que el hecho de que los datos no sean personales en manos del receptor A «no incide en la evaluación del carácter personal de esos datos en el contexto de una potencial transferencia ulterior a terceros.» Es decir: si el receptor A los reenvía a un tercero B que tiene medios razonables para reidentificar por ejemplo, cruzándolos con otros datos a su disposición el titular «debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior.» La lógica del Tribunal, leída completa, funciona así: cada eslabón de la cadena se evalúa por separado. Que Deloitte no pudiera identificar a nadie no significa que el siguiente receptor tampoco pueda. La protección viaja con los datos.

Quien cita solo el párrafo 86 «no son personales para todos» y omite el 85 «pero hay que verificar eslabón por eslabón» no está simplificando. Está amputando. Y es exactamente la mitad que conviene amputar si lo que buscas es desregular.

Y la complejidad del fallo no termina ahí, ninguno de los tribunales llegó a evaluar si los datos en manos de Deloitte eran efectivamente personales o no. El Tribunal de Justicia determinó que esa pregunta no necesitaba respuesta, porque la obligación de transparencia de la SRB existía con independencia de lo que ocurriera después. No es un pie de página académico. Es la diferencia entre decir “los datos seudonimizados no son personales” que es lo que circula y lo que el Tribunal realmente hizo: dejar esa pregunta abierta. El Tribunal jamás calificó los datos que recibió Deloitte como “anonimos”, “anonimizados”. Ni una sola vez. Optó siempre por perífrasis cuidadosas sobre “prevenir la identificabilidad”. Una elección lingüística que, en un tribunal de esta jerarquía, no es casual.

El Tribunal estableció un test de dos condiciones para que la seudonimización efectivamente impida que un receptor esté tratando datos personales. Primero: que el receptor no pueda revertir las medidas técnicas y organizativas durante cualquier tratamiento bajo su control. Segundo y aquí el estándar se vuelve brutal: que esas medidas impidan al receptor atribuir los datos al titular, incluso mediante el cruce con cualquier otro factor de identificación a su disposición. No basta con no tener la llave. Hay que demostrar que no existe ningún camino alternativo.

Y por si quedaba alguna duda: la obligación del responsable de informar al titular sobre los destinatarios de sus datos se evalúa “en el momento de la recolección y desde el punto de vista del responsable”. Da igual que Deloitte no pudiera identificar a nadie. La SRB debía informar igual. La transparencia no es opcional, no depende del resultado, y no se negocia.

Lo que el Tribunal sí establece claramente en SRB es un panorama de identificabilidad considerablemente más complejo de lo que existía antes. Es un fallo que abre un nuevo capítulo para la desidentificación y dará mucho que hablar (y hacer). Pero precisamente por esa complejidad, no se presta a lecturas simplificadas. Y mucho menos a ser empaquetado como argumento para reformar una ley a 10.000 kilómetros de distancia.

Segunda escala: Bruselas

Aquí la historia se pone interesante. Y política. Y como todo lo político, conviene seguir las presiones que no aparecen en los comunicados oficiales.

La Comisión Europea tiene un problema legítimo. El Informe Draghi le dijo en 2024, con la elegancia despiadada de un banquero central, que Europa pierde competitividad frente a EE.UU. y China, en parte por carga regulatoria. La presión por simplificar es real, es fuerte, y tiene países, empresas, nombres y apellidos detrás.

Lo que se discute no es el diagnóstico. Es el método. En noviembre de 2025, la Comisión lanzó la propuesta de Reglamento “Digital Omnibus” y entre muchos temas, propuso reescribir la definición de dato personal del artículo 4(1) del GDPR, presentándolo como una simple “clarificación” de lo que el Tribunal ya dijo en SRB. Lo que hizo, en la práctica, fue tomar un bisturí quirúrgico un fallo diseñado para un caso muy específico y usarlo como para reescribir una definición que afecta a 450 millones de personas.

  • Primera oración propuesta: «La información relativa a una persona natural no es necesariamente dato personal para toda otra persona o entidad, por el mero hecho de que otra entidad pueda identificar a dicha persona.» Hasta aquí, correcto el propio Tribunal dijo algo similar en SRB al confirmar el enfoque relativo de Breyer. Nadie discute esto. El problema es lo que viene después.
  • Segunda oración: «La información no será personal para una entidad determinada cuando esta no pueda identificar a la persona natural a la que se refiere la información, teniendo en cuenta los medios que razonablemente pueda utilizar dicha entidad.» Mira solo al receptor aislado. Pero Gesamtverband, que el propio Tribunal reafirmó «sobre todo» en SRB (párr. 84) dice lo contrario: datos impersonales para quien los tiene se vuelven personales cuando los pone a disposición de alguien que sí puede identificar. Y no solo para ese tercero: también, indirectamente, para quien los transfirió. La propuesta ignora que la calificación opera hacia atrás en la cadena.
  • Tercera oración: «Dicha información no se vuelve personal para esa entidad por el mero hecho de que un receptor posterior tenga medios razonablemente susceptibles de ser utilizados para identificar a la persona natural.» Esto choca de frente con el párrafo 85 de SRB. El Tribunal dijo exactamente lo opuesto: que si no puede descartarse que terceros posteriores tengan medios razonables para atribuir los datos al titular, este debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior.

Recordar en este punto que esto es una propuesta, no es ley. No ha sido votada. No ha sido siquiera debatida formalmente por el Parlamento Europeo ni por el Consejo y hacer presente que la oposición académica, técnica y de la sociedad civil es fuerte. Es decir, el desenlace es incierto. Presentar esta propuesta como un hecho consumado es como anunciar el resultado de un partido en el entretiempo.

Tercera escala: Valparaíso

Y aquí se completa el teléfono descompuesto. Leamos lo que efectivamente escribieron los senadores Araya, Quintana y Saavedra en la fundamentación del Boletín:

“Cabe tener presente, que en la actualidad la Unión Europea se encuentra revisando su legislación en materia de datos personales. En efecto, la Comisión Europea presentó en noviembre de 2025 un paquete normativo denominado Digital Omnibus, con el que propone modificar el Reglamento General de Protección de Datos (GDPR) y otras normas digitales de la Unión Europea.”

“Entre los cambios propuestos se encuentran los siguientes: redefinir qué se considera ‘dato personal’ por ejemplo, permitir que datos seudonimizados no entren en la categoría de datos personales si no pueden asociarse razonablemente a una persona concreta; flexibilizar las obligaciones para empresas pequeñas y medianas; y facilitar que empresas de IA usen datos personales como base legítima para entrenamiento de modelos sin consentimiento explícito.”

Y su conclusión:

“Como puede observarse Chile avanza en un sentido contrario al mundo desarrollado: mientras Europa y Estados Unidos avanzan en la simplificación regulatoria, Chile se encuentra inmerso en el proceso de implementación de la ley N° 21.719, que elevó el estándar normativo al Reglamento de la UE de 2016 (GDPR), que es abandonado por Europa.”

Releamos esa última línea: abandonado por Europa. Una propuesta que no ha sido votada, que enfrenta oposición técnica feroz, y cuyo destino nadie conoce, se presenta como un abandono consumado. Eso no es un error menor de precisión. Es una premisa falsa sobre la cual se construye toda la argumentación.

El inventario de ausencias es revelador. Ninguna cita al fallo SRB. Ningún análisis de los párrafos 81 a 86. Ninguna mención de Breyer, Gesamtverband, OC v. Commission ni IAB Europe las sentencias que el propio Tribunal reafirmó expresamente. Ninguna referencia a las críticas académicas europeas. Ninguna nota al pie que diga “fuimos a la fuente y esto es lo que encontramos”.

Es hora de colgar el teléfono

Si vamos a reformar una ley, hagámoslo porque hemos diagnosticado, con nuestros propios datos y nuestra propia experiencia, fundamentemos esas reformas en nuestro propio diagnóstico. No en un borrador europeo que busca solucionar una crisis de competitividad que no es la nuestra, basado en un fallo que dice cosas bastante distintas a las que se le atribuyen, filtrado por una propuesta que ni siquiera ha pasado su primera votación.

Legislar bien implica entender los principios detrás de las normas para adaptarlos a la realidad local. Legislar mal es tratar las leyes como software que se actualiza automáticamente cada vez que el servidor central Bruselas lanza un parche.

La madurez legislativa se alcanza cuando se deja de mirar de reojo al compañero de al lado para copiar la respuesta y se empieza a resolver el examen con cabeza propia. Mientras no desarrollemos esa cultura, temo que entraremos en un péndulo eterno: aprobando leyes estrictas un año y reformándolas al siguiente, sin que en el intertanto hayamos protegido realmente ni un solo dato ni fomentado una sola innovación. El teléfono ya distorsionó suficiente el mensaje. Es hora de colgar, pensar, y escribir nuestras propias respuestas.

Compliance en protección de datos personales para no ser multado vs. para no dañar. 42 millones de Euros de diferencia y por que es importante para Chile

/en , /por

Compliance en protección de datos personales para no ser multado vs. para no dañar.

€42 millones de diferencia y por que es importante para Chile

Catherine Munoz Gutiérrez

Catherine Munoz Gutiérrez

Abogada | Consultora en Protección de Datos, Ciberseguridad y Regulación Tecnológica | Especialista en Cumplimiento Normativo y Gobernanza de IA | Asesora Legislativa Internacional | CEO Idónea

El hecho

El 8 de enero de 2026, la CNIL sancionó al grupo ILIAD con €42 millones: €27M a FREE MOBILE y €15M a FREE.

La brecha afectó a 24.633.469 contratos (19.460.891 móviles y 5.172.577 fijos). Los datos comprometidos incluían nombre, dirección, teléfono, correo, fecha de nacimiento, datos contractuales y —para los clientes «convergentes»— el IBAN completo. Pero la multa no fue por haber sido vulnerados. Fue por cómo gestionaron los riesgos antes, durante y después del incidente.

Este caso confirma empíricamente lo que he advertido en publicaciones anteriores y las consecuencias de una mala aproximación y calibración de protección de datos: sobre este punto el Modelo de Prevención de Infracciones (MPI) chileno presenta un error de diseño estructural. Define el riesgo como la probabilidad de ser sancionado, en lugar de la probabilidad de dañar a las personas. Parece una sutileza pero no lo es. FREE gestionó sus riesgos bajo esa lógica. Hoy enfrenta las consecuencias.

Un mes adentro sin que nadie lo detectara

Un atacante ingresó al sistema el 28 de septiembre de 2024. Durante casi un mes:

  • Se conectó al VPN con credenciales robadas (no existía autenticación multifactor)
  • Nadie verificó que el dispositivo perteneciera a la empresa
  • Realizó consultas masivas a la base de datos
  • Extrajo millones de registros, incluyendo IBANs
  • Los sistemas de monitoreo generaban reportes que nadie analizaba efectivamente

¿Cómo se enteró la empresa? El 21 de octubre, el propio atacante les alertó de la brecha. La CNIL constató que «el atacante pudo acceder a los datos de los clientes convergentes contenidos en la herramienta SIEBEL de la sociedad, y esto durante casi un mes, sin que se emitiera una alerta o, suponiendo que se hubiera emitido una alerta, sin que ésta fuera tratada» (§109, SAN-2026-002).

Los tres argumentos que FREE perdió

«No hay datos sensibles»

FREE alegó que el tratamiento «no presenta un riesgo elevado para las personas concernidas en ausencia de datos sensibles en el sentido del artículo 9 del RGPD» (§49, SAN-2026-002).

La CNIL recordó que

«los riesgos para los derechos y libertades de las personas físicas, cuyo grado de probabilidad y gravedad varía, pueden resultar del tratamiento de datos personales susceptible de ocasionar daños físicos, materiales o un perjuicio moral, en particular: cuando el tratamiento pueda dar lugar […] a un robo o usurpación de identidad, a una pérdida financiera, […] o cuando el tratamiento concierna un volumen importante de datos personales» (§52/77).

«El IBAN solo no permite fraudes»

FREE alegó que «la compromisión de los IBAN no entraña un riesgo particular dado que un IBAN solo no permite realizar un cobro fraudulento y que los establecimientos bancarios han implementado mecanismos para evitarlo» (§50/75). La CNIL respondió: «una persona mal intencionada, disponiendo de un IBAN usurpado, puede proceder a un pago fraudulento en un sitio web que proponga validar el mandato de cobro SEPA mediante una simple casilla de verificación» (§58/82).

«El contexto de ciberataques nos exculpa»

FREE alegó que «la recrudescencia de violaciones de datos no permite imputar el perjuicio alegado por ciertos reclamantes al ataque del que fue víctima» (§51/76). La CNIL respondió: «el grado de probabilidad de que los riesgos de divulgación y acceso no autorizado a los datos tratados por la sociedad se realicen es elevado, precisamente teniendo en cuenta la recrudescencia de las violaciones de datos desde hace varios años, recordada por la propia sociedad» (§59/83). El contexto de amenazas crecientes exigía mayor diligencia, no menor responsabilidad.

El error fundacional: si se define mal el riesgo, no es posible calibrar nada

Toda legislación moderna de protección de datos se construye sobre un principio: las obligaciones se dimensionan según el riesgo que el tratamiento presenta para los derechos de las personas. No el riesgo para la empresa. No el riesgo de multa. El riesgo para la persona cuyos datos se tratan.

La CNIL, citando a la CJUE, lo expresó así:

«El carácter apropiado de tales medidas técnicas y organizativas debe apreciarse en dos tiempos. Por una parte, conviene identificar los riesgos de violación de datos personales inducidos por el tratamiento concernido y sus eventuales consecuencias para los derechos y libertades de las personas físicas. Esta apreciación debe conducirse de manera concreta, tomando en consideración el grado de probabilidad de los riesgos identificados y su grado de gravedad.» (§39/63, citando CJUE 14 diciembre 2023, C-340/21)

Este enfoque de riesgo a derechos no opera únicamente para decidir cuándo realizar una EIPD. Es el principio que gobierna toda la legislación y permite calibrar el conjunto de obligaciones:

  • Medidas de seguridad: ¿Cuánta protección se requiere? La proporcional al daño que una brecha causaría a las personas.
  • Conservación: ¿Durante cuánto tiempo pueden conservarse los datos? Solo mientras sea necesario. FREE MOBILE fue sancionada también por conservar datos de más de 15 millones de contratos cancelados hace más de 5 años, de los cuales 3 millones llevaban más de 10 años (§42, SAN-2026-001).
  • Notificación de brechas: ¿Qué debe comunicarse a los afectados? Lo suficiente para que puedan protegerse efectivamente.

Si se modifica la definición de riesgo —de «daño a la persona» a «probabilidad de sanción»— se pierde la vara de medir. Ya no es posible calibrar nada.

FREE aplicó exactamente ese enfoque. Su sistema preguntaba: ¿qué tan probable es que nos sancionen? ¿Tenemos documentación suficiente? Resultado: políticas escritas, matrices ordenadas, reportes periódicos… y un atacante adentro por casi un mes sin que nadie lo detectara.

¿Por qué esto importa para Chile? El MPI chileno institucionaliza este error

El Decreto 662 reglamenta el MPI de la Ley 21.719. Su artículo 3, letra e), redefine el objeto del análisis de riesgo: insta a identificar las actividades de tratamiento «en cuyo contexto se genere o incremente el riesgo de comisión de infracciones». El riesgo deja de ser la probabilidad y severidad de un impacto negativo en la persona para pasar a ser la probabilidad de que el responsable cometa —o sea descubierto en— un incumplimiento legal.

La reforma de la Ley 19.628 (Ley 21.719) entra en vigencia en diciembre de 2026. Su arquitectura toma por completo el modelo europeo: enfoque de riesgo, principio de responsabilidad, obligación de medidas técnicas y organizativas apropiadas. Cuando la futura Agencia de Protección de Datos deba interpretar conceptos como «medidas apropiadas» o «riesgo para los derechos», mirará hacia autoridades con jurisprudencia consolidada. El caso FREE ofrece exactamente eso: un precedente detallado sobre qué significa gestionar riesgos correctamente —y qué consecuencias tiene no hacerlo.

El problema es que el MPI no prepara a las empresas para ese estándar. Prepara para otro distinto.

Este cambio de definición no es semántico. Destruye la capacidad de calibrar riesgos y controles. El caso FREE demuestra las cinco consecuencias de este error:

1. Genera una falsa sensación de seguridad que incrementa el riesgo legal

FREE invirtió recursos en documentación, políticas y matrices. Creyó estar protegida. Cuando ocurrió el incidente, esa misma documentación se convirtió en evidencia en su contra. La CNIL observó que FREE «había identificado perfectamente, en el marco de los scripts de preguntas/respuestas puestos a disposición de los asesores que respondían las llamadas, que existía un escenario de riesgo relativo a ‘intentos de fraude haciéndose pasar por Free o cualquier otro organismo’. La formación restringida nota que también había identificado recomendaciones a dar a las personas» (§146/195). Sin embargo, no comunicó esa información a los millones de afectados en el correo inicial de notificación.

La CNIL también constató que «en el marco de la notificación inicial efectuada ante la CNIL algunos días antes de la comunicación realizada a las personas afectadas, la sociedad había descrito bien estas medidas» de remediación (§143/192). Pero a los afectados solo les comunicó que «todas las medidas necesarias han sido tomadas», lo que la CNIL calificó como «una formulación demasiado general y abstracta» (§141/190).

Ante un tribunal, la defensa «pero cumplí el modelo» resulta irrelevante. El juez analiza la diligencia debida conforme a la ley: la protección de los derechos. La documentación que demuestre que la empresa priorizó el riesgo de multa sobre el riesgo de daño a las personas no es un escudo. Es una confesión.

2. Confunde riesgo residual con riesgo inherente

El MPI chileno orienta la gestión hacia el riesgo residual (el que «queda» tras los controles) y silencia el riesgo inherente (el propio del tratamiento por su naturaleza, alcance y contexto, antes de aplicar controles).

En protección de datos, la necesidad de protección se ancla en el riesgo inherente. Es éste el que activa obligaciones ex ante: realizar una EIPD, aplicar privacy by design, definir salvaguardas reforzadas. Los disparadores de alto riesgo —tratamientos a gran escala, categorías especiales, decisiones automatizadas con efectos jurídicos— son características intrínsecas del tratamiento, no variables «residuales» que puedan diluirse con una política.

La CNIL lo dejó claro al señalar que el riesgo «debería ser objeto de una evaluación objetiva que permita determinar si las operaciones de tratamiento de datos comportan un riesgo o un riesgo elevado» en función de «la naturaleza, el alcance, el contexto y las finalidades del tratamiento» (§53/78, citando considerando 76 RGPD).

3. Carece de un catálogo técnico verificable

La CNIL exigió evidencia operativa concreta. FREE no pudo demostrar que sus controles funcionaban.

Respecto a la autenticación, la CNIL citó las recomendaciones de la ANSSI de 2018 que establecen tres niveles de autenticación necesarios en situación de nomadismo: «autenticación del usuario en el puesto nómada; autenticación del puesto nómada en el SI; autenticación del usuario en el SI» (§71/94).

Respecto a la detección, la CNIL señaló que «la simple recolección de los datos de registro de logs no basta para asegurar un sistema de información. El dispositivo de registro de logs solo es eficaz si una entidad está en capacidad de tratar las informaciones registradas en los logs a fin de estar en condiciones, llegado el caso, de detectar rápidamente un comportamiento sospechoso» (§99/123).

FREE contaba con registro de logs, pero «el 15 de octubre de 2024, el atacante pudo exfiltrar los datos de aproximadamente […] contratos fijos, sin que este comportamiento emitiera una alerta o, suponiendo que se hubiera emitido una alerta, sin que ésta provocara un bloqueo de la cuenta origen de las consultas» (§110).

El MPI no exige ni describe medidas técnicas concretas (cifrado en tránsito y reposo, control de accesos, seudonimización robusta). Valorar el riesgo «residual» sin un catálogo técnico mínimo verificable convierte la matriz en una lista de intenciones, no en un instrumento probatorio de eficacia.

4. Distorsiona el principio de proporcionalidad

FREE invirtió en documentación y políticas formales. Pero no pudo equilibrar donde incluir medidas técnicas de mitigación apropiada. La CNIL fue categórica: «las medidas de seguridad que habrían permitido impedir o limitar la violación están bien identificadas por el estado del arte, y la sociedad disponía de los medios humanos, técnicos y financieros para implementarlas» (§178/229).

La focalización en la sanción desorienta completamente el principio de proporcionalidad. Las medidas de seguridad ya no se calibran en función de la gravedad del posible daño a una persona, sino en función de la visibilidad y cuantía de una posible multa, o en los riesgos relacionados con ciberseguridad. Se invierte masivamente en aquello con alto castigo potencial (como las formalidades en cláusulas legales) y se sub-invierte en aquello con alto daño potencial a las personas pero baja detectabilidad (como los sesgos en algoritmos internos). El estándar de diligencia deja de ser «¿qué medidas son razonables para evitar daños?» y pasa a ser «¿qué se necesita se necesita para evitar sanciones?».

5. Produce una asignación irracional de recursos finitos

Los presupuestos de cumplimiento y ciberseguridad son finitos. La lógica del MPI conduce a que los recursos migren hacia áreas de alto castigo potencial (redacción de cláusulas, gestión de solicitudes de derechos, reporting defensivo) y se descuiden tratamientos que, aunque presentan un altísimo impacto en los derechos, poseen baja detectabilidad o probabilidad de sanción: sesgos en analítica interna de RR.HH., accesos privilegiados a historias clínicas, algoritmos de scoring crediticio.

Lo que exigió la CNIL en este caso

  • Defensa en profundidad. La CNIL aplicó el principio de la ANSSI: «no hacer reposar la seguridad sobre un elemento sino sobre un conjunto coherente. Esto significa que en teoría no debe existir ningún punto sobre el cual repose todo el edificio» (§62/86). FREE falló porque sus vulnerabilidades se acumularon: sin MFA + sin verificación de dispositivo + sin detección efectiva = un atacante adentro por casi un mes.
  • Medidas técnicas verificables. La CNIL exigió evidencia operativa: autenticación multifactor, certificados de máquina para dispositivos, detección de anomalías en tiempo real, algoritmos de hash robustos para contraseñas, bloqueo automático ante comportamientos sospechosos. No bastaba con disponer de una política de seguridad. Era necesario demostrar que funcionaba.
  • Comunicación efectiva a los afectados. La CNIL consideró que el objetivo de la comunicación del artículo 34 RGPD es «ayudar a las personas concernidas a comprender la naturaleza de la violación así como las medidas que pueden implementar para protegerse» (§129/178). FREE falló porque su comunicación fue «demasiado vaga para alcanzar el objetivo» (§145/194).

Qué significa esto para las empresas chilenas

Para el equipo legal: El MPI puede otorgar una certificación. Esa certificación no constituye defensa en un juicio civil por daños. Un juez preguntará si se adoptaron medidas razonables para proteger a las personas, no si se cumplió un checklist. La documentación de riesgos que demuestre que la empresa priorizó evitar multas sobre evitar daños no es un escudo. Es una confesión.

Para el equipo de TI: Es necesario documentar no solo que existen controles, sino que funcionan. MTTD (tiempo de detección) y MTTR (tiempo de respuesta) serán métricas relevantes. Si un atacante puede permanecer un mes en el sistema sin ser detectado, ninguna política escrita resulta suficiente.

Para ambos: El enfoque de riesgo a derechos aplica a cada decisión: qué datos recoger, cuánto tiempo conservarlos, cómo protegerlos, qué informar. Es necesario invertir en seguridad operativa, no solo en documentación. El problema de fondo: una matriz calibrada hacia el riesgo de sanción no sirve para calibrar controles que protejan a las personas. Las empresas que quieran cumplir efectivamente la Ley terminarán llevando dos matrices —una para el MPI, otra para gestionar riesgos reales. Es un costo que podría evitarse si el modelo estuviera bien diseñado desde el inicio.

Conclusión

Durante casi un mes, un atacante extrajo datos de millones de personas. La empresa se enteró porque él decidió contarles. Eso no es mala suerte. Es consecuencia de un sistema que preguntaba «¿nos pueden multar?» en lugar de «¿podemos dañar a alguien?».

La diferencia entre cumplir para no ser multado y cumplir para no dañar parece semántica. €42 millones demuestran que no lo es. Mi análisis completo del MPI y el Decreto 662: aqui

#ProtecciónDeDatos #LPDP #Ciberseguridad #Compliance #Chile

¿Es tu empresa un servicio esencial según la Ley Marco de Ciberseguridad? Guía completa 2025

/en , , /por

Descubre si tu empresa está obligada por la Ley Marco de Ciberseguridad. Guía visual completa con todos los sectores esenciales: energía, salud, transporte, banca y más. Descarga gratis.

Leer más

Mitigación de Riesgos de Ciberseguridad en la Cadena de Suministro: Guía Legal para un Outsourcing Seguro – Nuevo Recurso Disponible

/en , /por
Leer más

El Desafío entre TI y Legal: Asegurando Tu Estrategia de Protección de Datos Personales (Y Cómo Construir un Puente Sólido

/en /por

El Desafío entre TI y Legal: Asegurando Tu Estrategia de Protección de Datos (Y Cómo Construir un Puente Sólido)

¿Han notado alguna vez que la gestión de la protección de datos en su empresa parece operar en dos mundos separados? Por un lado, los especialistas en TI, con su dominio de firewalls, cifrado y servidores en la nube. Por otro, los profesionales del derecho, enfocados en políticas de privacidad, derechos de los interesados y normativas que a menudo resultan complejas y técnicas. Esta falta de conexión puede generar una brecha importante que pone en riesgo a su organización y a sus clientes.

 

 

Esta desconexión no es meramente un problema de comunicación; es una deficiencia fundamental en la estrategia de protección de datos de muchas organizaciones. Y, como todo problema estructural, puede acarrear consecuencias significativas. No nos referimos solo a multas y sanciones, sino a un daño más profundo: la erosión de la confianza del cliente, el deterioro de la reputación de la marca y, en última instancia, el obstáculo para construir un negocio sostenible y ético.

Casos Reales de Desconexión Legal-TI: Identificando los Puntos Críticos

Dejemos a un lado la teoría por un momento y examinemos situaciones concretas, los problemas habituales que surgen cuando los equipos de TI y Legal operan de forma aislada:

  • La Confusión en la Gestión del Consentimiento: El departamento legal se centra en redactar una política de privacidad conforme a la ley, mientras que el equipo de TI implementa un banner de cookies que resulta confuso para el usuario. Consecuencia: bajos ratios de consentimiento y pérdida de datos valiosos para marketing. Finalmente, se detecta que el banner estaba mal configurado, recopilando datos sin consentimiento, lo que resulta en una sanción para la empresa.

  • Retrasos en la Notificación de Incidentes de Seguridad: Un ciberataque impacta los sistemas de la empresa. El equipo de TI se concentra en contener la intrusión y reparar los sistemas, pero la notificación legal se realiza fuera del plazo establecido, exponiendo a la empresa a sanciones considerables y a una crisis de reputación prolongada.

  • Dificultades con las Solicitudes de Acceso a Datos (DSARs): Se reciben numerosas DSARs semanalmente, pero los equipos de Legal y TI trabajan de manera independiente, sin una comprensión mutua. Los datos están dispersos en sistemas distintos, dificultando una respuesta oportuna y completa, lo que puede resultar en multas para la organización.

  • Protección de Datos Retroactiva y Vulnerabilidades: Se lanza una nueva aplicación con la mejor intención, pero sin integrar la protección de datos desde el inicio. Los riesgos de seguridad se hacen evidentes tardíamente y, bajo presión para solucionar el problema, se generan nuevos errores. Resultado: vulnerabilidad expuesta públicamente, pérdida de confianza del cliente y gastos imprevistos para la reestructuración de la aplicación.

  • Obsolescencia de las Políticas de Retención de Datos: Las políticas de retención de datos quedan archivadas en documentos legales, sin que el departamento de TI tome medidas para implementarlas. Esto genera un almacén de datos innecesarios que se mantiene durante años, aumentando el riesgo de ataques y posibles sanciones.

Estos no son solo ejemplos hipotéticos; son situaciones reales que demuestran la importancia de establecer una comunicación efectiva entre TI y Legal, perdiendo la oportunidad de generar valor en la era digital.

El Problema Central: Lenguajes Diferentes, Prioridades Divergentes, Oportunidades Perdidas

La desconexión entre TI y Legal es un fenómeno común, tanto que a veces se normaliza. Sin embargo, este problema surge, en parte, porque estos equipos operan con enfoques distintos:

  • El Enfoque Legal: Se centra en leyes, normativas, riesgos legales y obligaciones de cumplimiento. Buscan la conformidad legal, pero en ocasiones carecen del conocimiento práctico para implementar las políticas en la realidad operativa.

  • El Enfoque de TI: Se enfoca en la funcionalidad, seguridad, eficiencia y el correcto funcionamiento de los sistemas. Buscan mantener la operatividad sin interrupciones y, a veces, no priorizan la terminología o las implicaciones legales.

Cuando ambos equipos trabajan de forma aislada, la protección de datos se convierte en una lucha entre la teoría (legal) y la práctica (TI), en lugar de ser una estrategia unificada para generar valor. Se desaprovechan oportunidades para crear procesos eficientes, fortalecer la confianza del cliente e innovar de forma ética y responsable.

La Solución de Idónea: Construyendo un Puente hacia un Futuro Más Responsable

En Idónea, creemos que la clave no está en forzar a que TI y Legal utilicen el mismo lenguaje, sino en crear un espacio colaborativo donde ambos puedan aprender mutuamente y construir un enfoque holístico hacia la protección de datos. Nosotros somos ese puente.

¿Cómo lo Logramos?

  1. Interdisciplinariedad Integrada: Nuestro equipo está compuesto por una combinación de expertos en derecho e ingeniería. Dominamos tanto el lenguaje técnico de TI como el legal (y contamos con expertos en gestión de proyectos para garantizar la sincronía).

  2. Soluciones Prácticas y Operativas: No solo entregamos políticas; diseñamos soluciones reales y funcionales. Mapeamos sistemas, rediseñamos procesos, implementamos controles técnicos y capacitamos a todos para asegurar la operatividad.

  3. Visión Estratégica de Valor: Consideramos la protección de datos no como un coste, sino como una ventaja competitiva. Ayudamos a fortalecer la confianza, fomentar la lealtad del cliente y destacar en el mercado.

  4. Experiencia Directa en RGPD: Nuestra experiencia en la implementación del RGPD en Europa nos aporta un conocimiento práctico, probado y eficaz en la gestión de la protección de datos.

  5. Enfoque Centrado en las Personas: En Idónea, trabajamos para crear soluciones personalizadas para cada empresa, tratándolas como entidades únicas con necesidades específicas.

Reflexión Final: La Oportunidad que Tenemos por Delante

La protección de datos no es un mero problema a resolver, sino una oportunidad para construir un futuro digital más ético, responsable y sostenible. Lograr este futuro requiere superar las barreras entre TI y Legal y colaborar como un equipo unificado, guiados por un objetivo común: proteger los datos, fortalecer la confianza y generar valor.

En Idónea, estamos preparados para construir este puente. ¿Nos acompañan?

#RGPD #ProtecciónDeDatos #ProteccionDeDatos #Ciberseguridad
#CumplimientoNormativo #TransformaciónDigital #Idonea #TI #Legal #Estrategia
#Confianza #FuturoDigital

Inteligencia Artificial y Protección de Datos en Chile: Guía para un cumplimiento basado en un enfoque responsable

/en , , /por
Leer más

Una lección Europea sobre infraestructura crítica

/en , /por

El Congreso está tramitando actualmente el proyecto de ley sobre Protección de Infraestructura Crítica. Ayer, la Ministra del Interior, en representación del Ejecutivo, solicitó priorizar y agilizar su despacho, argumentando la necesidad de fortalecer la seguridad nacional ante riesgos emergentes.

El proyecto establece obligaciones a empresas de infraestructura crítica entendiendo por esta:

“aquella indispensable para la generación, transmisión, transporte, producción, almacenamiento y distribución de los servicios e insumos básicos para la población, tales como energía, gas, agua o telecomunicaciones; la relativa a la conexión vial, aérea, terrestre, marítima, portuaria o ferroviaria, y la correspondiente a servicios de utilidad pública, como los sistemas de asistencia sanitaria o de salud, identificados como infraestructuras críticas conforme a los criterios específicos contenidos en la presente ley”.

Este proyecto ofrece múltiples puntos de análisis, pero en este artículo me enfocaré en un aspecto clave: es necesario tener muy presente que esta ley requiere una evaluación cuidadosa por parte del Legislativo, con el fin de evitar falta de coordinación y conflictos regulatorios con la Ley Marco de Ciberseguridad. Para entender cuál es la problemática de esto, hay que ir al otro lado del Atlántico.

Al respecto, es importante recordar que el proyecto mencionado se basa, en gran medida, en la Directiva CER de la UE (Critical Entities Resilience Directive), que se tramitó de forma paralela y entró en vigencia en conjunto con la Directiva NIS2, la cual, a su vez, dio origen a la Ley Marco de Ciberseguridad.

Ambas directivas buscan regular y proteger, por un lado, la infraestructura crítica (IC) física y, por otro, parte o la totalidad (dependiendo del enfoque) de la IC digital, representada en sistemas y redes de información.

El proceso de transposición de estas directivas a la legislación interna de cada país de la Unión, (cuyo plazo venció el 17 de octubre pasado) ha evidenciado importantes desafíos, como una potencial redundancia de cargas regulatorias y la falta de alineación y coordinación efectiva entre ambas.

Lo anterior se debe, en parte, a que los respectivos entes rectores operan en distintos ámbitos, mientras que los sujetos obligados son prácticamente los mismos. Esto genera una acumulación considerable de elevadas cargas regulatorias y obligaciones de reporte que, en esencia, resultan equivalentes o similares y, en su mayoría, deben cumplirse de forma simultánea.

Una potencial falta de coherencia normativa, una superposición de funciones o una falta de integración técnica entre las autoridades involucradas, aumentan el riesgo de duplicación de esfuerzos públicos y privados, ineficiencia administrativas, conflictos interinstitucionales y, en última instancia, de la paralización de la gestión empresarial, por la falta de estándares claros y de todo una economía.

La complejidad actual de los ataques contra las infraestructuras críticas (IC), agrava aún más esta situación, ya que suelen ser híbridos (físicos y digitales) y sistémicos (de origen incierto, generalmente vinculados a la cadena de suministro fuera del perímetro de protección). Esto dificulta detectar con precisión su naturaleza y origen, además de obstaculizar el cumplimiento coordinado de normativas estrechamente relacionadas.

Por su parte, la existencia de riesgos sistémicos puede llevar a una gestión inconsistente de ciberamenazas, pues los principales cuerpos normativos se centran en las mismas áreas específicas, pudiendo dejar puntos débiles en la seguridad de IC no regulada, por ejemplo, dentro de la cadena de suministro.

La situación actual en Europa debe ser un llamado de atención para Chile, especialmente en el contexto de la tramitación del proyecto de ley sobre Protección de Infraestructura Crítica. Es crucial que esta normativa aborde los riesgos mencionados en los párrafos anteriores, con el fin de evitar choques legislativos y daños a la economía, debiendo por el contrario, garantizar su máxima eficacia. Para ello, resulta imprescindible alinearla (cual reloj suizo) con la Ley Marco de Ciberseguridad, promoviendo una coordinación intersectorial sólida y eliminando todas aquellas cargas innecesarias o desproporcionadas que para las empresas pueden resultar inasumibles.

Ley Marco de Ciberseguridad

/en , /por
Leer más