En Luxemburgo, un tribunal resolvió un caso muy específico sobre la seudonimización. En Bruselas, una comisión política tomó ese fallo y lo convirtió en pieza de un paquete regulatorio con una agenda mucho más amplia. En Valparaíso, tres senadores importaron esa propuesta, sin ir a la fuente, como justificación para reformar una ley que todavía no rige.

Así nació el Boletín N° 18.060-07 una reforma chilena a la reforma de Ley sobre Datos Personales . Y un gran ejemplo de como funciona el «teléfono descompuesto legislativo» (me dicen que el juego se llama solo «el teléfono», me disculpo de mis términos boomer).

Chile promulgó en 2024 una ley de protección de datos inspirada (reproduciendo casi en un 100%) en el GDPR europeo. En 2026, antes de que entre en vigencia, ya quiere reformarla porque Europa insinúa que el GDPR es demasiado rígido. Si esto suena a copiar la respuesta del compañero sin entender la pregunta, es exactamente lo que es.

Disclaimer: mi postura es que la Ley 19.628, reformada por la Ley 21.719, de que necesita ajustes, los necesita. El consentimiento como regla general es un error: todas las bases de licitud deben operar en igualdad, sin jerarquía, y en muchos casos el consentimiento simplemente no funciona, lo sabemos porque Europa ya recorrió ese camino. El modelo de prevención de infracciones tiene un problema de base que se traduce en la imposibilidad de calibrar los riesgos adecuadamente, es necesario reforzar el ejercicio abusivo del derecho de acceso (ya hemos visto ese desastre y negocio mal habido que se ha creado en Europa), y algunos artículos están redactados con una ambigüedad que invita al litigio, pero eso es para otra discusión.

Hoy no escribo sobre el qué. Es sobre el cómo. Y el cómo, en este caso, es un desastre metodológico que merece ser contado, y este es un super buen ejemplo.

La enfermedad, no el síntoma

Sería fácil reducir esta historia a un problema de citas mal hechas. No lo es. El teléfono descompuesto es el síntoma. La enfermedad es bastante más grave y tiene al menos cuatro órganos comprometidos.

• Uno. Se confunde propuesta con derecho vigente. El Boletín presenta la propuesta Digital Omnibus de la Comisión Europea como si fuera un hecho consumado. No lo es. Es un borrador que enfrenta oposición técnica feroz de académicos, autoridades de protección de datos y organizaciones de la sociedad civil. El Parlamento Europeo no se ha pronunciado. El Consejo tampoco. Construir una reforma nacional sobre una propuesta extranjera cuyo destino nadie conoce es construir sobre arena.
• Dos. Se importa el diagnóstico sin verificar si el paciente es el mismo. La presión desregulatoria europea tiene un nombre propio: el Informe Draghi (o quizás dos Trump). Y un diagnóstico específico: la UE pierde competitividad frente a EE.UU. y China tras dos décadas de regulación digital intensiva. Demasiadas reglas, acumuladas demasiado rápido, sobre un mercado que compite con rivales que no las tienen. Chile no tiene ese problema. Chile tiene el problema exactamente inverso: una ley de protección de datos de 1999 que durante veinticinco años no protegió prácticamente nada. Aplicar la medicina de un paciente con exceso de regulación a uno con déficit crónico es como prescribir dieta a alguien desnutrido. El resultado no va a ser bueno.
• Tres. Se legisla sin identidad regulatoria propia. En 2017, Chile decidió que el GDPR era el estándar de oro. En 2024, lo promulgó con orgullo. En 2026, quiere reformarlo porque Europa dice que quizás fue demasiado lejos. Tres posiciones en menos de una década, sin que la ley haya producido un solo efecto jurídico. Eso no es adaptabilidad. Es dependencia disfrazada de modernidad.
• Cuatro. Se quema el terreno para reformas futuras. Hay problemas reales en la ley que necesitan solución. Este boletín menciona varios, aunque los estructura mal. El daño de fondo no es lo que propone es lo que deja detrás: cada reforma mal fundamentada le sube el costo de credibilidad a la siguiente. Quien mañana traiga una propuesta rigurosa va a cargar con el peso de este precedente.

Estos problemas no son exclusivos del Boletín N° 18.060-07. Son patrones. Son la forma en que Chile legisla sobre temas digitales y tecnología: mirando hacia afuera con un ojo cerrado (como el proyecto de Ley sobre IA).

Ahora veamos cómo se distorsionó el mensaje en cada escala. Porque el diablo, como siempre, está en los detalles. (o acompáñenme a ver esta triste historia)

Primera escala: Luxemburgo

El caso EDPS v. SRB (C-413/23 P, sentencia del 4 de septiembre de 2025) es de esos fallos que todo el mundo cita y casi nadie lee completo. La versión que circula cabe en un tuit: “los datos seudonimizados ya no son datos personales”. La realidad ocupa 112 párrafos de matices que hacen que esa frase sea, en el mejor de los casos, una simplificación peligrosa.

Los hechos son tan específicos que casi parecen diseñados para un examen de derecho. La SRB la Junta Única de Resolución bancaria de la UE había recopilado más de 23.000 comentarios de accionistas y acreedores del Banco Popular Español tras su resolución en 2017. Los procesó con un cuidado inusual: eliminó nombres, asignó códigos alfanuméricos de 33 dígitos vinculados a cada comentario no a cada persona, fusionó duplicados y los agregó por tema. Después transfirió 1.104 de esos comentarios seudonimizados a Deloitte, a través de un servidor seguro, para una valoración técnica. Deloitte recibió datos brutos sin ninguna “llave” de reidentificación, sin acceso a la base de datos de la SRB y sin medios legales para exigirlo.

Hasta aquí, seudonimización de libro de texto. Pero varios afectados se quejaron ante el Supervisor Europeo de Protección de Datos: nadie les había informado que sus comentarios viajarían a un tercero. El EDPS les dio la razón. La SRB recurrió. El Tribunal General anuló la decisión del EDPS. El EDPS apeló. Y en septiembre de 2025, el Tribunal de Justicia de la UE puso punto final.

Aquí es donde la historia se pone interesante y donde la mayoría de los comentaristas dejó de leer.

Lo primero que hizo el Tribunal y por supuesto lo que la moción chilena ignora por completo fue reafirmar expresamente toda su jurisprudencia anterior. La más estricta. En los párrafos 81 a 85, la Corte dejó claro que la excepción que venía a continuación no debía leerse fuera de ese marco:

• OC v. Commission: Si declaraciones sobre una persona permiten “razonablemente” al público identificarla combinándolas con datos disponibles en internet estamos ante dato personal.
• Breyer e IAB Europe: Datos que son en sí mismos impersonales se vuelven personales si quien los tiene puede obtener de un tercero la información que permite reidentificar. Basta con que existan canales legales para esa obtención.
• Párrafo 84: Gesamtverband: Y aquí viene lo crucial. El Tribunal recordó que datos completamente impersonales se vuelven personales cuando se ponen a disposición de alguien que sí puede identificar. Y no solo para ese alguien también, “indirectamente”, para quien los transfirió. La calificación opera hacia atrás en la cadena.

Párrafo 85: La Corte unió los hilos: si no puede descartarse que terceros tengan medios razonables para atribuir datos seudonimizados al titular como cruzarlos con otros datos a su disposición “el titular debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior”.

Párrafo 86: Solo entonces vino la excepción: los datos seudonimizados no deben considerarse, en todos los casos y para toda persona, datos personales, “en la medida en que la seudonimización pueda, dependiendo de las circunstancias del caso, prevenir efectivamente que personas distintas del responsable identifiquen al titular.”

¿Ven la sutileza? (igual no es muy facil) El párrafo 86 abre una puerta: los datos seudonimizados no son automáticamente personales para todo el que los toca. Si la seudonimización efectivamente impide que un receptor específico identifique a la persona, para esereceptor no son datos personales. Pero el párrafo 85 se asegura de que esa puerta sea estrecha.

El Tribunal advierte que el hecho de que los datos no sean personales en manos del receptor A «no incide en la evaluación del carácter personal de esos datos en el contexto de una potencial transferencia ulterior a terceros.» Es decir: si el receptor A los reenvía a un tercero B que sí tiene medios razonables para reidentificar por ejemplo, cruzándolos con otros datos a su disposición el titular «debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior.» La lógica del Tribunal, leída completa, funciona así: cada eslabón de la cadena se evalúa por separado. Que Deloitte no pudiera identificar a nadie no significa que el siguiente receptor tampoco pueda. La protección viaja con los datos.

Quien cita solo el párrafo 86 «no son personales para todos» y omite el 85 «pero hay que verificar eslabón por eslabón» no está simplificando. Está amputando. Y es exactamente la mitad que conviene amputar si lo que buscas es desregular.

Y la complejidad del fallo no termina ahí, ninguno de los tribunales llegó a evaluar si los datos en manos de Deloitte eran efectivamente personales o no. El Tribunal de Justicia determinó que esa pregunta no necesitaba respuesta, porque la obligación de transparencia de la SRB existía con independencia de lo que ocurriera después. No es un pie de página académico. Es la diferencia entre decir “los datos seudonimizados no son personales” que es lo que circula y lo que el Tribunal realmente hizo: dejar esa pregunta abierta. El Tribunal jamás calificó los datos que recibió Deloitte como “anonimos”, “anonimizados”. Ni una sola vez. Optó siempre por perífrasis cuidadosas sobre “prevenir la identificabilidad”. Una elección lingüística que, en un tribunal de esta jerarquía, no es casual.

El Tribunal estableció un test de dos condiciones para que la seudonimización efectivamente impida que un receptor esté tratando datos personales. Primero: que el receptor no pueda revertir las medidas técnicas y organizativas durante cualquier tratamiento bajo su control. Segundo y aquí el estándar se vuelve brutal: que esas medidas impidan al receptor atribuir los datos al titular, incluso mediante el cruce con cualquier otro factor de identificación a su disposición. No basta con no tener la llave. Hay que demostrar que no existe ningún camino alternativo.

Y por si quedaba alguna duda: la obligación del responsable de informar al titular sobre los destinatarios de sus datos se evalúa “en el momento de la recolección y desde el punto de vista del responsable”. Da igual que Deloitte no pudiera identificar a nadie. La SRB debía informar igual. La transparencia no es opcional, no depende del resultado, y no se negocia.

Lo que el Tribunal sí establece claramente en SRB es un panorama de identificabilidad considerablemente más complejo de lo que existía antes. Es un fallo que abre un nuevo capítulo para la desidentificación y dará mucho que hablar (y hacer). Pero precisamente por esa complejidad, no se presta a lecturas simplificadas. Y mucho menos a ser empaquetado como argumento para reformar una ley a 10.000 kilómetros de distancia.

Segunda escala: Bruselas

Aquí la historia se pone interesante. Y política. Y como todo lo político, conviene seguir las presiones que no aparecen en los comunicados oficiales.

La Comisión Europea tiene un problema legítimo. El Informe Draghi le dijo en 2024, con la elegancia despiadada de un banquero central, que Europa pierde competitividad frente a EE.UU. y China, en parte por carga regulatoria. La presión por simplificar es real, es fuerte, y tiene países, empresas, nombres y apellidos detrás.

Lo que se discute no es el diagnóstico. Es el método. En noviembre de 2025, la Comisión lanzó la propuesta de Reglamento “Digital Omnibus” y entre muchos temas, propuso reescribir la definición de dato personal del artículo 4(1) del GDPR, presentándolo como una simple “clarificación” de lo que el Tribunal ya dijo en SRB. Lo que hizo, en la práctica, fue tomar un bisturí quirúrgico un fallo diseñado para un caso muy específico y usarlo como para reescribir una definición que afecta a 450 millones de personas.

• Primera oración propuesta: «La información relativa a una persona natural no es necesariamente dato personal para toda otra persona o entidad, por el mero hecho de que otra entidad pueda identificar a dicha persona.» Hasta aquí, correcto el propio Tribunal dijo algo similar en SRB al confirmar el enfoque relativo de Breyer. Nadie discute esto. El problema es lo que viene después.
• Segunda oración: «La información no será personal para una entidad determinada cuando esta no pueda identificar a la persona natural a la que se refiere la información, teniendo en cuenta los medios que razonablemente pueda utilizar dicha entidad.» Mira solo al receptor aislado. Pero Gesamtverband, que el propio Tribunal reafirmó «sobre todo» en SRB (párr. 84) dice lo contrario: datos impersonales para quien los tiene se vuelven personales cuando los pone a disposición de alguien que sí puede identificar. Y no solo para ese tercero: también, indirectamente, para quien los transfirió. La propuesta ignora que la calificación opera hacia atrás en la cadena.
• Tercera oración: «Dicha información no se vuelve personal para esa entidad por el mero hecho de que un receptor posterior tenga medios razonablemente susceptibles de ser utilizados para identificar a la persona natural.» Esto choca de frente con el párrafo 85 de SRB. El Tribunal dijo exactamente lo opuesto: que si no puede descartarse que terceros posteriores tengan medios razonables para atribuir los datos al titular, este debe ser considerado identificable tanto respecto de esa transferencia como de cualquier tratamiento posterior.

Recordar en este punto que esto es una propuesta, no es ley. No ha sido votada. No ha sido siquiera debatida formalmente por el Parlamento Europeo ni por el Consejo y hacer presente que la oposición académica, técnica y de la sociedad civil es fuerte. Es decir, el desenlace es incierto. Presentar esta propuesta como un hecho consumado es como anunciar el resultado de un partido en el entretiempo.

Tercera escala: Valparaíso

Y aquí se completa el teléfono descompuesto. Leamos lo que efectivamente escribieron los senadores Araya, Quintana y Saavedra en la fundamentación del Boletín:

“Cabe tener presente, que en la actualidad la Unión Europea se encuentra revisando su legislación en materia de datos personales. En efecto, la Comisión Europea presentó en noviembre de 2025 un paquete normativo denominado Digital Omnibus, con el que propone modificar el Reglamento General de Protección de Datos (GDPR) y otras normas digitales de la Unión Europea.”

“Entre los cambios propuestos se encuentran los siguientes: redefinir qué se considera ‘dato personal’ por ejemplo, permitir que datos seudonimizados no entren en la categoría de datos personales si no pueden asociarse razonablemente a una persona concreta; flexibilizar las obligaciones para empresas pequeñas y medianas; y facilitar que empresas de IA usen datos personales como base legítima para entrenamiento de modelos sin consentimiento explícito.”

Y su conclusión:

“Como puede observarse Chile avanza en un sentido contrario al mundo desarrollado: mientras Europa y Estados Unidos avanzan en la simplificación regulatoria, Chile se encuentra inmerso en el proceso de implementación de la ley N° 21.719, que elevó el estándar normativo al Reglamento de la UE de 2016 (GDPR), que es abandonado por Europa.”

Releamos esa última línea: abandonado por Europa. Una propuesta que no ha sido votada, que enfrenta oposición técnica feroz, y cuyo destino nadie conoce, se presenta como un abandono consumado. Eso no es un error menor de precisión. Es una premisa falsa sobre la cual se construye toda la argumentación.

El inventario de ausencias es revelador. Ninguna cita al fallo SRB. Ningún análisis de los párrafos 81 a 86. Ninguna mención de Breyer, Gesamtverband, OC v. Commission ni IAB Europe las sentencias que el propio Tribunal reafirmó expresamente. Ninguna referencia a las críticas académicas europeas. Ninguna nota al pie que diga “fuimos a la fuente y esto es lo que encontramos”.

Es hora de colgar el teléfono

Si vamos a reformar una ley, hagámoslo porque hemos diagnosticado, con nuestros propios datos y nuestra propia experiencia, fundamentemos esas reformas en nuestro propio diagnóstico. No en un borrador europeo que busca solucionar una crisis de competitividad que no es la nuestra, basado en un fallo que dice cosas bastante distintas a las que se le atribuyen, filtrado por una propuesta que ni siquiera ha pasado su primera votación.

Legislar bien implica entender los principios detrás de las normas para adaptarlos a la realidad local. Legislar mal es tratar las leyes como software que se actualiza automáticamente cada vez que el servidor central Bruselas lanza un parche.

La madurez legislativa se alcanza cuando se deja de mirar de reojo al compañero de al lado para copiar la respuesta y se empieza a resolver el examen con cabeza propia. Mientras no desarrollemos esa cultura, temo que entraremos en un péndulo eterno: aprobando leyes estrictas un año y reformándolas al siguiente, sin que en el intertanto hayamos protegido realmente ni un solo dato ni fomentado una sola innovación. El teléfono ya distorsionó suficiente el mensaje. Es hora de colgar, pensar, y escribir nuestras propias respuestas.