El Ciudadano
Por Benjamín Santos Poblete
El 8 de mayo de 2026, la Agencia Nacional de Ciberseguridad (ANCI) publicó un comunicado que, leído con atención, resulta más preocupante que tranquilizador. No hubo un ataque a la infraestructura tecnológica del Estado, aclaró la agencia. Lo que ocurrió fue distinto, y en cierto sentido más grave: accesos no autorizados mediante credenciales de usuarios que permitieron a terceros extraer información que solo deberían estar disponibles para funcionarios en ejercicio de sus cargos[1].
Una semana antes, la misma ANCI había advertido sobre actividad maliciosa dirigida contra la Tesorería General de la República y Registro Civil[2]: dos instituciones que custodian algunos de los datos más sensibles de la ciudadanía. Dos incidentes en ocho días. El patrón no es casualidad.
La distinción técnica que hace la ANCI —no fue un ataque a la infraestructura, sino uso de credenciales comprometidas— no atenúa la gravedad del hecho; la reencuadra. Lo que está en discusión no es si los sistemas del Estado fueron vulnerados en sentido técnico clásico, sino si los datos de quienes viven en Chile están siendo protegidos con la seriedad que la situación exige.
El robo de credenciales —obtención ilegítima de nombres de usuario y contraseñas, frecuentemente mediante phishing, malware o filtraciones previas de bases de datos— es una de las vías de compromiso más comunes y, paradójicamente, más prevenibles: autenticación multifactor, monitoreo de accesos anómalos, políticas de contraseñas robustas y capacitación continua a funcionarios son medidas conocidas, no tecnología de frontera. Si no estaban implementadas en instituciones como el Registro Civil o la Tesorería, la pregunta que corresponde hacerse es, qué podemos razonablemente esperar del sector privado, y en particular de las pequeñas y medianas empresas.
La plataforma Rutify es mencionada en el comunicado de la ANCI como uno de los vectores asociados a la filtración. Lo que sí es verificable es que los datos de los ciudadanos transitan por múltiples plataformas —públicas, privadas, híbridas— y que la cadena de seguridad se rompe siempre por el eslabón más débil.
Hay, además, una omisión que no puede soslayarse: la ANCI informa, describe y aclara, pero no asume responsabilidad institucional por las condiciones de seguridad que hicieron posibles estos accesos. Un comunicado que distingue entre «ataque a la infraestructura» y «uso de credenciales válidas comprometidas» tiene un efecto técnicamente preciso, pero políticamente cómodo: desplaza el problema hacia la conducta individual de los usuarios sin interrogar el entorno institucional que permite que esas credenciales circulen sin controles adecuados. Eso, para una agencia cuya misión es precisamente la ciberseguridad nacional, merece una crítica directa.
La historia regulatoria chilena registra organismos con buen diseño legislativo que terminaron siendo instrumentalizados o vaciados de contenido por vía presupuestaria o mediante la designación de perfiles complacientes. La Agencia no está inmune a esos riesgos.
Ley 21.719: Qué cambia y qué no
El 1 de diciembre de 2026 entrará en vigencia plena la Ley N° 21.719, que modifica íntegramente la Ley N° 19.628 sobre protección de la vida privada y crea la Agencia de Protección de Datos Personales. La nueva normativa no es una actualización cosmética: es un cambio de paradigma.
Durante años, la Ley 19.628 reguló el tratamiento de datos personales en Chile sin un órgano especializado que la hiciera cumplir, sin sanciones que generaran disuasión real, y con un modelo de tutela que cargaba sobre el propio afectado la responsabilidad de litigar ante tribunales. En la práctica, el incumplimiento era un riesgo tolerable.
La nueva normativa corrige esta arquitectura desde sus cimientos. Introduce un catálogo tipificado de infracciones -leves, graves y gravísimas- con sanciones que van desde la amonestación hasta multas que ascienden a 20.000 UTM. Se incorporan suspensión de operaciones de tratamiento de datos y un registro nacional de sanciones y cumplimiento de acceso público. Por primera vez, el cumplimiento en materia de datos personales tendrá un guardián con poder real. Este es quizá, el cambio más estructural. La creación de la Agencia de Protección de Datos Personales, una institución con facultades para actuar de oficio, fiscalizar e imponer sanciones.
La nueva Agencia de Protección de Datos Personales
La Agencia se compondrá por un consejo directivo. El cargo exige dedicación exclusiva y es incompatible con el ejercicio de funciones en el sector privado, incluidos directorios y participación en la propiedad de empresas cuyo giro verse sobre tratamiento de datos. El diseño institucional es razonablemente sólido en el papel. Pero la independencia no se declara: se construye en la práctica, decisión a decisión. Los primeros consejeros tendrán sobre sus hombros una responsabilidad que excede lo meramente regulatorio. Antes de activar el poder sancionatorio pleno, deberán emitir instrucciones de alcance general, desarrollar guías para que organizaciones de distinto tamaño puedan cumplir de manera realista, y establecer criterios interpretativos que den coherencia y predictibilidad al sistema. Ese trabajo previo —silencioso, técnico, poco visible— es tan importante como la primera multa que impongan, y probablemente más difícil.
La historia regulatoria chilena registra organismos con buen diseño legislativo que terminaron siendo instrumentalizados o vaciados de contenido por vía presupuestaria o mediante la designación de perfiles complacientes. La Agencia no está inmune a esos riesgos. Su legitimidad dependerá de que actúe con la misma firmeza frente a un organismo público infractor, que frente a una empresa privada. Cualquier asimetría en ese trato sería una señal de alarma temprana que el debate público debería estar preparado para identificar y nombrar.
La paradoja de la igualdad formal
Uno de los puntos más tensos de la nueva normativa es su universalidad. La Ley 21.719 se aplica a toda persona natural o jurídica —incluidos los órganos públicos— que trate datos personales. Esto significa que una pyme enfrenta, en principio, las mismas obligaciones que un organismo estatal: políticas de privacidad, procedimientos para el ejercicio de derechos de los titulares, medidas de seguridad, y eventualmente la designación de un delegado de protección de datos.
Una sanción excesiva puede ser tan problemática como la ausencia de ella: en lugar de fomentar el cumplimiento, puede generar efectos distorsionadores e incluso la inviabilidad económica.
La ley no ignora completamente esta asimetría. El artículo 14 septies establece que los estándares mínimos de cumplimiento serán diferenciados por la Agencia mediante instrucción general, considerando el tipo de dato, la naturaleza jurídica del responsable y su tamaño conforme a la Ley N° 20.416 sobre empresas de menor tamaño. Y el artículo sexto transitorio dispone que, durante los primeros doce meses de vigencia, la Agencia podrá reemplazar una multa por una amonestación escrita cuando el infractor sea una empresa de menor tamaño.
El problema es que ambas disposiciones son facultativas, no obligatorias. La diferenciación de estándares depende de que la Agencia la desarrolle efectivamente, con criterios claros y en plazo razonable. Y la amonestación en lugar de multa es una opción discrecional del órgano sancionador, no un derecho del infractor. En ausencia de esas instrucciones generales, la igualdad formal encubre una desigualdad real: las mismas exigencias para sujetos con capacidades radicalmente distintas.
Aquí emerge un principio central del derecho administrativo sancionador, la proporcionalidad. Una sanción excesiva puede ser tan problemática como la ausencia de ella: en lugar de fomentar el cumplimiento, puede generar efectos distorsionadores e incluso la inviabilidad económica. La proporcionalidad no es una concesión al incumplimiento; es una garantía de que el sistema funcione con legitimidad.
Los modelos de prevención ¿incentivo real o burocracia inasequible?
La ley ofrece a los responsables de datos una herramienta concreta de mitigación: el modelo de prevención de infracciones, consistente en un programa de cumplimiento que incluye la designación de un delegado de protección de datos, la identificación de riesgos, el establecimiento de protocolos específicos y mecanismos de reporte interno. Quien lo acredite mediante certificación de la Agencia puede invocarlo como atenuante en un procedimiento sancionatorio[3]. En este sentido, invertir en prevención tiene una rentabilidad directa ante una eventual infracción.
Sin embargo, hay una pregunta que la ley no responde: ¿cuánto cuesta implementar un modelo de prevención certificado para una pyme? Si el costo de la prevención supera el costo esperado de la sanción —ponderado por la probabilidad real de fiscalización y la cuantía de una multa diferenciada para pymes—, el incentivo se invierte. La Agencia deberá ofrecer modelos tipo, guías prácticas y herramientas accesibles que permitan a organizaciones pequeñas, cumplir sin necesidad de contratar consultoría especializada que exceda su capacidad presupuestaria. Si no lo hace, el modelo de prevención será una ventaja competitiva para quienes ya tienen recursos, no una protección para quienes más la necesitan.
Cultura, hábitos y ciudadanía. El problema que ninguna ley puede resolver por sí misma
Los incidentes de seguridad reportados por la ANCI ilustran algo que el debate jurídico tiende a subestimar: el problema de la protección de datos no es principalmente un problema de normas. Es un problema de cultura, de hábitos organizacionales y de educación cívica. Los accesos no autorizados mediante credenciales comprometidas no ocurren porque falta legislación. Ocurren porque en muchas instituciones públicas y privadas no existe autenticación de múltiples factores, porque los funcionarios reutilizan contraseñas, porque nadie ha explicado con claridad por qué proteger una clave de acceso institucional equivale a proteger los datos de miles de ciudadanos. El problema, en términos más directos, es que tratamos la seguridad digital como un trámite técnico delegado al área de informática, no como una responsabilidad transversal de toda la organización.
Una persona que no sabe que tiene derecho a solicitar acceso a sus datos, a oponerse a su tratamiento o a exigir su supresión, es una persona que no puede ejercer los derechos que la ley le reconoce.
Esa misma lógica opera en el sector privado. La mayoría de las infracciones que la nueva Agencia deberá enfrentar no provendrán de actores maliciosos deliberados. Provendrán de prácticas consolidadas que nadie cuestionó: recopilar más datos de los necesarios porque siempre se hizo así; compartir bases de datos entre áreas sin registro ni control; no tener claro quién responde cuando hay una brecha. Cambiar esos hábitos requiere tiempo, capacitación sostenida y una institucionalidad que entienda su función como pedagógica, además de sancionatoria.
La ciudadanía forma parte central de esta ecuación, y es quizás el eslabón más descuidado. Una persona que no sabe que tiene derecho a solicitar acceso a sus datos, a oponerse a su tratamiento o a exigir su supresión, es una persona que no puede ejercer los derechos que la ley le reconoce. Sin embargo, estas garantías son letra muerta si no existe una ciudadanía que los conozca y los haga valer. La Agencia tiene mandato legal explícito para desarrollar programas de difusión y promoción. Usarlo con seriedad no es una opción complementaria: es condición de eficacia del sistema.
Una crítica necesaria
Informar que no hubo ataque a la infraestructura, que los accesos ocurrieron mediante credenciales válidas, es técnicamente correcto. Pero omitir la pregunta de por qué esas credenciales estaban disponibles para ser comprometidas —y qué falló en los controles que debían impedirlo— es una forma de gestión de la narrativa que no le hace bien al debate público ni a la confianza ciudadana en las instituciones.
La ANCI tiene un rol preventivo y de coordinación[4] que, en estos incidentes, parece haber actuado más en el modo reactivo-comunicacional que en el modo preventivo-estructural. Una agencia de ciberseguridad nacional que informa filtraciones después de que ocurren, sin rendir cuenta de los estándares de seguridad que debían haberse exigido antes, no está cumpliendo a cabalidad con su función. Esta crítica no es menor: si el Estado no puede proteger sus propias credenciales, con qué autoridad podemos exigirles al privado que asegure protocolos robustos de seguridad.
La futura Agencia de Protección de Datos Personales hereda ese contexto. Y si sus consejeros leen los incidentes solo como una noticia de contexto, y no como una advertencia sobre lo que les espera, el sistema tendrá problemas antes de haberse dictado su primera instrucción general. La deuda no es solo legislativa; es cultural, institucional y, sobre todo, de voluntad política sostenida.
Por Benjamín Santos Poblete
Abogado
9 mayo 2026
[1]ANCI, «Actualización ANCI: filtraciones por robo de credenciales», 8 de mayo de 2026. Disponible en: https://anci.gob.cl/noticias/actualizacion-anci-filtraciones-por-robo-de-credenciales/
[2] ANCI, «ANCI informa sobre reportes de las últimas horas», 1 de mayo de 2026. Disponible en: https://anci.gob.cl/noticias/anci-informa-sobre-reportes-de-las-ultimas-horas/ y https://www.elmostrador.cl/noticias/2026/05/01/anci-anuncia-que-esta-investigando-reportes-de-ciberataque-contra-instituciones-del-estado/
[3] Véase en este sentido los artículos 36 y 51 de la Ley 21.719
[4] ANCI «Misión y objetivos» disponible en https://anci.gob.cl/quienes-somos/mision-y-objetivos/
Las expresiones emitidas en esta columna son de exclusiva responsabilidad de su autor(a) y no representan necesariamente las opiniones de El Ciudadano.
Sigue leyendo:
La entrada Cuando el Estado filtra sus datos se publicó primero en El Ciudadano.
🔥 Ver noticia completa en ElCiudadano.cl 🔥
