Columnas

El caso «Rutify» y las lecciones para la Agencia de Protección de Datos Personales

Equipo EstadoDiario mayo 7, 2026

Por Lucas Chávez Grille*

El pasado 29 de abril de 2026, la empresa de ciberseguridad Vecert Analyzer emitió una señal de alerta que, en un principio, pareció caer en el vacío. Se informaba que bases de datos con nombres, RUT, domicilios e historiales clínicos de ciudadanos chilenos circulaban en grupos de Telegram bajo la firma de un actor identificado como “Rutify”. Pese a la gravedad del hallazgo, la respuesta institucional fue inexistente durante tres días, periodo en el cual la información sensible de beneficiarios de FONASA permaneció expuesta. Fue solo tras el eco mediático provocado por el feriado del 1 de mayo que el asunto cobró la relevancia que exigía desde el primer minuto.

En este escenario, la interrogante fundamental no radica en la vulneración de la Clave Única —descartada prontamente por la división de Gobierno Digital—, sino en una cuestión mucho más incómoda: ¿por qué la alarma fue encendida por una entidad privada y no por el regulador competente? Este silencio no constituye un fallo fortuito, sino que es el síntoma de una arquitectura institucional todavía en ciernes. Para desentrañar este fenómeno, resulta imperativo recurrir al concepto de enforcement gap: aquella brecha estructural que separa la ambición de la norma de su capacidad real de aplicación. En Chile, este vacío adquiere una dimensión institucional gracias a la nueva Agencia de Protección de Datos Personales que, aunque legalmente creada, aún no se encuentra operativa.

Lucas Chavez Grille
  1. La tesis de la fuente de acceso público y sus límites jurídicos

La defensa de Rutify se ampara en un argumento que, bajo la regulación actual, posee una apariencia de validez difícil de rebatir en sede judicial: la utilización exclusiva de fuentes oficiales como el SII o el Registro Civil. Sin embargo, esta postura incurre en una confusión deliberada entre el origen del dato y la legitimidad de su tratamiento.

A este respecto, el principio de finalidad —consagrado en el artículo 3° de la Ley N° 21.719— establece que los datos deben tratarse únicamente para el propósito original de su recolección. Por consiguiente, el hecho de que un registro sea público no otorga una carta blanca para su uso indiscriminado. Mientras los registros del SII tienen fines tributarios, los del Registro Civil buscan la identificación ciudadana; ninguno de ellos habilita la creación de perfiles unificados que integren antecedentes comerciales y clínicos sin restricción alguna.

Lo más crítico, no obstante, es la exposición de diagnósticos y resultados de exámenes médicos. De acuerdo con el artículo 2° de la citada ley, estos constituyen datos sensibles en su categoría más protegida. Su tratamiento sin consentimiento expreso representa una infracción de máxima gravedad que trasciende el mero error administrativo. El problema persiste: esta conclusión jurídica carece de fuerza ejecutiva mientras no exista una autoridad operativa para declararla.

  1. La arquitectura institucional ausente: inteligencia y detección

Si bien la Ley N° 21.719 otorgó a la futura Agencia herramientas de supervisión y sanción significativas, el obstáculo actual es de índole operativa. Una institución conformada exclusivamente por perfiles jurídicos generalistas carecería de los “sensores” técnicos para identificar prácticas de scraping automatizado. Tal como advierte Filippo Lancieri al analizar el RGPD europeo, la brecha de cumplimiento no suele ser un problema de normas, sino de capacidad técnica en un mercado de datos complejo.

Bajo esta premisa, la solución no radica únicamente en aumentar la dotación de fiscalizadores, sino en repensar la estructura interna de la Agencia. Proponemos la articulación de tres unidades estratégicas:

  • Cumplimiento y Asistencia Técnica: de carácter preventivo.
  • Investigación y Fiscalización: para la conducción de auditorías y sanciones.
  • Evaluación e Inteligencia Regulatoria: una unidad prospectiva encargada de monitorear el ecosistema y detectar riesgos antes de que el daño sea irreversible en los derechos y libertades de las personas.

De haber contado con esta última unidad, la alerta de Vecert del 29 de abril habría activado los protocolos estatales en cuestión de horas.

III. La fractura entre Ciberseguridad y Privacidad

El caso en cuestión pone de manifiesto una desconexión institucional crítica: Chile ha creado la Agencia Nacional de Ciberseguridad (ANCI) y la Agencia de Protección de Datos Personales, pero ha omitido construir el puente que las comunique. Al operar sobre el mismo ecosistema digital, la falta de protocolos de notificación cruzada deja al ciudadano en la indefensión, navegando entre comunicados contradictorios.

Como señalan Baldwin y Black en su teoría de la regulación responsiva, la fragmentación institucional compromete seriamente la supervisión cuando existen competencias solapadas. La creación de este protocolo de coordinación no requiere de nueva legislación, sino de una voluntad administrativa basada en la Ley de Bases Generales de la Administración del Estado, idealmente antes de que enfrentemos el próximo incidente masivo.

  1. Hacia un modelo de vigilancia distribuida

Resulta paradójico que, en el caso Rutify, el sistema “funcionó”, pero lo hizo de forma desordenada y accidental, dependiendo de la discrecionalidad de una empresa privada. Para cerrar este margen de incertidumbre, la teoría del smart regulation de Gunningham y Grabosky sugiere que el Estado no puede —ni debe— gobernar el ecosistema de datos de manera aislada.

La alternativa es un modelo de gobernanza policéntrico: una red coordinada de empresas de ciberseguridad, sociedad civil e investigadores que operen bajo protocolos reconocidos por la Agencia. En Estados Unidos, por ejemplo, el 80% de las irregularidades en fraude corporativo son detectadas por actores externos (periodistas, analistas, empleados) y no por reguladores públicos. Formalizar estos canales de reporte convertiría a entidades como Vecert en colaboradores sistémicos, integrándolos formalmente en la estrategia de protección nacional.

  1. Conclusión: La urgencia de la arquitectura institucional

En última instancia, debemos reconocer que la Ley N° 21.719 es una pieza legislativa de alta calidad que adopta el paradigma de la regulación responsiva de manera coherente. Sus potestades para emitir directrices vinculantes y aplicar multas disuasorias —de hasta 20.000 UTM o el 4% de la facturación anual— son herramientas potentes que ya están en el papel.

No obstante, el caso Rutify nos recuerda que una buena ley es una condición necesaria, pero solo una institución robusta es condición suficiente para la eficacia. La lección que nos deja este episodio es, ante todo, institucional: Chile no puede permitirse inaugurar su nueva era de protección de datos llegando tarde a la cita. Los datos de salud de la ciudadanía no tienen la posibilidad de esperar a que el Estado termine de instalarse.

*El autor es Profesor Ayudante de la Facultad de Derecho de la Universidad de Chile y memorista del Departamento de Derecho Público. Su investigación —Gobernanza de Datos y Regulación Responsiva: Fundamentos para una reconstrucción crítica del modelo de cumplimiento de la Ley N.° 21.719 de Protección de Datos Personales— fue presentada en 2025 bajo la guía del Profesor Santiago Montt.

Equipo EstadoDiario

Artículos relacionados

febrero 25, 2021

La importancia de las tres E en un futuro modelo tributario

Pedro Huichalaf
mayo 28, 2018

El uso (y abuso) de la palabra “ilimitado” en planes de telefonía e internet

abril 1, 2025

La protección de datos en el ejercicio legal: lo que los abogados deben dejar de hacer

junio 19, 2018

Innovando en la formación del Derecho

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

© Estado Diario 2026, Derechos reservados
Close
Close