El hecho

El 8 de enero de 2026, la CNIL sancionó al grupo ILIAD con €42 millones: €27M a FREE MOBILE y €15M a FREE.

La brecha afectó a 24.633.469 contratos (19.460.891 móviles y 5.172.577 fijos). Los datos comprometidos incluían nombre, dirección, teléfono, correo, fecha de nacimiento, datos contractuales y —para los clientes «convergentes»— el IBAN completo. Pero la multa no fue por haber sido vulnerados. Fue por cómo gestionaron los riesgos antes, durante y después del incidente.

Este caso confirma empíricamente lo que he advertido en publicaciones anteriores y las consecuencias de una mala aproximación y calibración de protección de datos: sobre este punto el Modelo de Prevención de Infracciones (MPI) chileno presenta un error de diseño estructural. Define el riesgo como la probabilidad de ser sancionado, en lugar de la probabilidad de dañar a las personas. Parece una sutileza pero no lo es. FREE gestionó sus riesgos bajo esa lógica. Hoy enfrenta las consecuencias.

Un mes adentro sin que nadie lo detectara

Un atacante ingresó al sistema el 28 de septiembre de 2024. Durante casi un mes:

• Se conectó al VPN con credenciales robadas (no existía autenticación multifactor)
• Nadie verificó que el dispositivo perteneciera a la empresa
• Realizó consultas masivas a la base de datos
• Extrajo millones de registros, incluyendo IBANs
• Los sistemas de monitoreo generaban reportes que nadie analizaba efectivamente

¿Cómo se enteró la empresa? El 21 de octubre, el propio atacante les alertó de la brecha. La CNIL constató que «el atacante pudo acceder a los datos de los clientes convergentes contenidos en la herramienta SIEBEL de la sociedad, y esto durante casi un mes, sin que se emitiera una alerta o, suponiendo que se hubiera emitido una alerta, sin que ésta fuera tratada» (§109, SAN-2026-002).

Los tres argumentos que FREE perdió

«No hay datos sensibles»

FREE alegó que el tratamiento «no presenta un riesgo elevado para las personas concernidas en ausencia de datos sensibles en el sentido del artículo 9 del RGPD» (§49, SAN-2026-002).

La CNIL recordó que

«los riesgos para los derechos y libertades de las personas físicas, cuyo grado de probabilidad y gravedad varía, pueden resultar del tratamiento de datos personales susceptible de ocasionar daños físicos, materiales o un perjuicio moral, en particular: cuando el tratamiento pueda dar lugar […] a un robo o usurpación de identidad, a una pérdida financiera, […] o cuando el tratamiento concierna un volumen importante de datos personales» (§52/77).

«El IBAN solo no permite fraudes»

FREE alegó que «la compromisión de los IBAN no entraña un riesgo particular dado que un IBAN solo no permite realizar un cobro fraudulento y que los establecimientos bancarios han implementado mecanismos para evitarlo» (§50/75). La CNIL respondió: «una persona mal intencionada, disponiendo de un IBAN usurpado, puede proceder a un pago fraudulento en un sitio web que proponga validar el mandato de cobro SEPA mediante una simple casilla de verificación» (§58/82).

«El contexto de ciberataques nos exculpa»

FREE alegó que «la recrudescencia de violaciones de datos no permite imputar el perjuicio alegado por ciertos reclamantes al ataque del que fue víctima» (§51/76). La CNIL respondió: «el grado de probabilidad de que los riesgos de divulgación y acceso no autorizado a los datos tratados por la sociedad se realicen es elevado, precisamente teniendo en cuenta la recrudescencia de las violaciones de datos desde hace varios años, recordada por la propia sociedad» (§59/83). El contexto de amenazas crecientes exigía mayor diligencia, no menor responsabilidad.

El error fundacional: si se define mal el riesgo, no es posible calibrar nada

Toda legislación moderna de protección de datos se construye sobre un principio: las obligaciones se dimensionan según el riesgo que el tratamiento presenta para los derechos de las personas. No el riesgo para la empresa. No el riesgo de multa. El riesgo para la persona cuyos datos se tratan.

La CNIL, citando a la CJUE, lo expresó así:

«El carácter apropiado de tales medidas técnicas y organizativas debe apreciarse en dos tiempos. Por una parte, conviene identificar los riesgos de violación de datos personales inducidos por el tratamiento concernido y sus eventuales consecuencias para los derechos y libertades de las personas físicas. Esta apreciación debe conducirse de manera concreta, tomando en consideración el grado de probabilidad de los riesgos identificados y su grado de gravedad.» (§39/63, citando CJUE 14 diciembre 2023, C-340/21)

Este enfoque de riesgo a derechos no opera únicamente para decidir cuándo realizar una EIPD. Es el principio que gobierna toda la legislación y permite calibrar el conjunto de obligaciones:

• Medidas de seguridad: ¿Cuánta protección se requiere? La proporcional al daño que una brecha causaría a las personas.
• Conservación: ¿Durante cuánto tiempo pueden conservarse los datos? Solo mientras sea necesario. FREE MOBILE fue sancionada también por conservar datos de más de 15 millones de contratos cancelados hace más de 5 años, de los cuales 3 millones llevaban más de 10 años (§42, SAN-2026-001).
• Notificación de brechas: ¿Qué debe comunicarse a los afectados? Lo suficiente para que puedan protegerse efectivamente.

Si se modifica la definición de riesgo —de «daño a la persona» a «probabilidad de sanción»— se pierde la vara de medir. Ya no es posible calibrar nada.

FREE aplicó exactamente ese enfoque. Su sistema preguntaba: ¿qué tan probable es que nos sancionen? ¿Tenemos documentación suficiente? Resultado: políticas escritas, matrices ordenadas, reportes periódicos… y un atacante adentro por casi un mes sin que nadie lo detectara.

¿Por qué esto importa para Chile? El MPI chileno institucionaliza este error

El Decreto 662 reglamenta el MPI de la Ley 21.719. Su artículo 3, letra e), redefine el objeto del análisis de riesgo: insta a identificar las actividades de tratamiento «en cuyo contexto se genere o incremente el riesgo de comisión de infracciones». El riesgo deja de ser la probabilidad y severidad de un impacto negativo en la persona para pasar a ser la probabilidad de que el responsable cometa —o sea descubierto en— un incumplimiento legal.

La reforma de la Ley 19.628 (Ley 21.719) entra en vigencia en diciembre de 2026. Su arquitectura toma por completo el modelo europeo: enfoque de riesgo, principio de responsabilidad, obligación de medidas técnicas y organizativas apropiadas. Cuando la futura Agencia de Protección de Datos deba interpretar conceptos como «medidas apropiadas» o «riesgo para los derechos», mirará hacia autoridades con jurisprudencia consolidada. El caso FREE ofrece exactamente eso: un precedente detallado sobre qué significa gestionar riesgos correctamente —y qué consecuencias tiene no hacerlo.

El problema es que el MPI no prepara a las empresas para ese estándar. Prepara para otro distinto.

Este cambio de definición no es semántico. Destruye la capacidad de calibrar riesgos y controles. El caso FREE demuestra las cinco consecuencias de este error:

1. Genera una falsa sensación de seguridad que incrementa el riesgo legal

FREE invirtió recursos en documentación, políticas y matrices. Creyó estar protegida. Cuando ocurrió el incidente, esa misma documentación se convirtió en evidencia en su contra. La CNIL observó que FREE «había identificado perfectamente, en el marco de los scripts de preguntas/respuestas puestos a disposición de los asesores que respondían las llamadas, que existía un escenario de riesgo relativo a ‘intentos de fraude haciéndose pasar por Free o cualquier otro organismo’. La formación restringida nota que también había identificado recomendaciones a dar a las personas» (§146/195). Sin embargo, no comunicó esa información a los millones de afectados en el correo inicial de notificación.

La CNIL también constató que «en el marco de la notificación inicial efectuada ante la CNIL algunos días antes de la comunicación realizada a las personas afectadas, la sociedad había descrito bien estas medidas» de remediación (§143/192). Pero a los afectados solo les comunicó que «todas las medidas necesarias han sido tomadas», lo que la CNIL calificó como «una formulación demasiado general y abstracta» (§141/190).

Ante un tribunal, la defensa «pero cumplí el modelo» resulta irrelevante. El juez analiza la diligencia debida conforme a la ley: la protección de los derechos. La documentación que demuestre que la empresa priorizó el riesgo de multa sobre el riesgo de daño a las personas no es un escudo. Es una confesión.

2. Confunde riesgo residual con riesgo inherente

El MPI chileno orienta la gestión hacia el riesgo residual (el que «queda» tras los controles) y silencia el riesgo inherente (el propio del tratamiento por su naturaleza, alcance y contexto, antes de aplicar controles).

En protección de datos, la necesidad de protección se ancla en el riesgo inherente. Es éste el que activa obligaciones ex ante: realizar una EIPD, aplicar privacy by design, definir salvaguardas reforzadas. Los disparadores de alto riesgo —tratamientos a gran escala, categorías especiales, decisiones automatizadas con efectos jurídicos— son características intrínsecas del tratamiento, no variables «residuales» que puedan diluirse con una política.

La CNIL lo dejó claro al señalar que el riesgo «debería ser objeto de una evaluación objetiva que permita determinar si las operaciones de tratamiento de datos comportan un riesgo o un riesgo elevado» en función de «la naturaleza, el alcance, el contexto y las finalidades del tratamiento» (§53/78, citando considerando 76 RGPD).

3. Carece de un catálogo técnico verificable

La CNIL exigió evidencia operativa concreta. FREE no pudo demostrar que sus controles funcionaban.

Respecto a la autenticación, la CNIL citó las recomendaciones de la ANSSI de 2018 que establecen tres niveles de autenticación necesarios en situación de nomadismo: «autenticación del usuario en el puesto nómada; autenticación del puesto nómada en el SI; autenticación del usuario en el SI» (§71/94).

Respecto a la detección, la CNIL señaló que «la simple recolección de los datos de registro de logs no basta para asegurar un sistema de información. El dispositivo de registro de logs solo es eficaz si una entidad está en capacidad de tratar las informaciones registradas en los logs a fin de estar en condiciones, llegado el caso, de detectar rápidamente un comportamiento sospechoso» (§99/123).

FREE contaba con registro de logs, pero «el 15 de octubre de 2024, el atacante pudo exfiltrar los datos de aproximadamente […] contratos fijos, sin que este comportamiento emitiera una alerta o, suponiendo que se hubiera emitido una alerta, sin que ésta provocara un bloqueo de la cuenta origen de las consultas» (§110).

El MPI no exige ni describe medidas técnicas concretas (cifrado en tránsito y reposo, control de accesos, seudonimización robusta). Valorar el riesgo «residual» sin un catálogo técnico mínimo verificable convierte la matriz en una lista de intenciones, no en un instrumento probatorio de eficacia.

4. Distorsiona el principio de proporcionalidad

FREE invirtió en documentación y políticas formales. Pero no pudo equilibrar donde incluir medidas técnicas de mitigación apropiada. La CNIL fue categórica: «las medidas de seguridad que habrían permitido impedir o limitar la violación están bien identificadas por el estado del arte, y la sociedad disponía de los medios humanos, técnicos y financieros para implementarlas» (§178/229).

La focalización en la sanción desorienta completamente el principio de proporcionalidad. Las medidas de seguridad ya no se calibran en función de la gravedad del posible daño a una persona, sino en función de la visibilidad y cuantía de una posible multa, o en los riesgos relacionados con ciberseguridad. Se invierte masivamente en aquello con alto castigo potencial (como las formalidades en cláusulas legales) y se sub-invierte en aquello con alto daño potencial a las personas pero baja detectabilidad (como los sesgos en algoritmos internos). El estándar de diligencia deja de ser «¿qué medidas son razonables para evitar daños?» y pasa a ser «¿qué se necesita se necesita para evitar sanciones?».

5. Produce una asignación irracional de recursos finitos

Los presupuestos de cumplimiento y ciberseguridad son finitos. La lógica del MPI conduce a que los recursos migren hacia áreas de alto castigo potencial (redacción de cláusulas, gestión de solicitudes de derechos, reporting defensivo) y se descuiden tratamientos que, aunque presentan un altísimo impacto en los derechos, poseen baja detectabilidad o probabilidad de sanción: sesgos en analítica interna de RR.HH., accesos privilegiados a historias clínicas, algoritmos de scoring crediticio.

Lo que exigió la CNIL en este caso

• Defensa en profundidad. La CNIL aplicó el principio de la ANSSI: «no hacer reposar la seguridad sobre un elemento sino sobre un conjunto coherente. Esto significa que en teoría no debe existir ningún punto sobre el cual repose todo el edificio» (§62/86). FREE falló porque sus vulnerabilidades se acumularon: sin MFA + sin verificación de dispositivo + sin detección efectiva = un atacante adentro por casi un mes.
• Medidas técnicas verificables. La CNIL exigió evidencia operativa: autenticación multifactor, certificados de máquina para dispositivos, detección de anomalías en tiempo real, algoritmos de hash robustos para contraseñas, bloqueo automático ante comportamientos sospechosos. No bastaba con disponer de una política de seguridad. Era necesario demostrar que funcionaba.
• Comunicación efectiva a los afectados. La CNIL consideró que el objetivo de la comunicación del artículo 34 RGPD es «ayudar a las personas concernidas a comprender la naturaleza de la violación así como las medidas que pueden implementar para protegerse» (§129/178). FREE falló porque su comunicación fue «demasiado vaga para alcanzar el objetivo» (§145/194).

Qué significa esto para las empresas chilenas

Para el equipo legal: El MPI puede otorgar una certificación. Esa certificación no constituye defensa en un juicio civil por daños. Un juez preguntará si se adoptaron medidas razonables para proteger a las personas, no si se cumplió un checklist. La documentación de riesgos que demuestre que la empresa priorizó evitar multas sobre evitar daños no es un escudo. Es una confesión.

Para el equipo de TI: Es necesario documentar no solo que existen controles, sino que funcionan. MTTD (tiempo de detección) y MTTR (tiempo de respuesta) serán métricas relevantes. Si un atacante puede permanecer un mes en el sistema sin ser detectado, ninguna política escrita resulta suficiente.

Para ambos: El enfoque de riesgo a derechos aplica a cada decisión: qué datos recoger, cuánto tiempo conservarlos, cómo protegerlos, qué informar. Es necesario invertir en seguridad operativa, no solo en documentación. El problema de fondo: una matriz calibrada hacia el riesgo de sanción no sirve para calibrar controles que protejan a las personas. Las empresas que quieran cumplir efectivamente la Ley terminarán llevando dos matrices —una para el MPI, otra para gestionar riesgos reales. Es un costo que podría evitarse si el modelo estuviera bien diseñado desde el inicio.

Conclusión

Durante casi un mes, un atacante extrajo datos de millones de personas. La empresa se enteró porque él decidió contarles. Eso no es mala suerte. Es consecuencia de un sistema que preguntaba «¿nos pueden multar?» en lugar de «¿podemos dañar a alguien?».

La diferencia entre cumplir para no ser multado y cumplir para no dañar parece semántica. €42 millones demuestran que no lo es. Mi análisis completo del MPI y el Decreto 662: aqui

#ProtecciónDeDatos #LPDP #Ciberseguridad #Compliance #Chile