El caso demostró que los peores riesgos provienen de instituciones sin cultura organizacional ni controles adecuados. Cuando la gobernanza de datos se subordina a equilibrios de poder, la ciudadanía asume el costo.
A inicios de mayo 2026, la plataforma “ Rutify ” generó alarma por una supuesta filtración masiva de datos. Pronto se aclaró que se trataba de bases antiguas ya disponibles en la web, entre ellas una del SERVEL de 2022. Pero ese dataset no es cualquier cosa: fue la mayor filtración de datos personales en Chile.
La filtración de casi 15 millones de datos que desnudó la fragilidad del Estado frente a la privacidad ciudadana. Hoy, a puertas de implementar un nuevo marco normativo, reformas en el Congreso amenazan con debilitar sus sanciones antes de entrar en vigor, perpetuando la impunidad institucional.
El 27 de abril del 2022, el SERVEL publicó en su sitio web un archivo comprimido que contenía los datos personales de electores. Durante 22 horas permaneció descargable. El archivo fue descargado al menos 17 veces antes de ser retirado. No fue un ciberataque. La mayor filtración de datos del Estado ocurrió porque nadie verificó el contenido de un documento antes de subirlo a la red.
En noviembre del 2021, un investigador del SERVEL pidió incorporar el RUT a la base electoral para distinguir participación de pueblos originarios en la elección de mayo del 2021, primera en incluir escaños reservados para esos pueblos. El archivo era interno y debía anonimizarse. Pero al responder una solicitud de transparencia en marzo del 2022, la División de TI derivó la base a la Unidad de Comunicaciones sin anonimizar. Esta última la publicó tal cual.
La información expuesta era crítica: RUT, edad, sexo, militancia y etnia. Esta vulneración fue grave, pues la afiliación posee amparo constitucional, el origen es dato racial y el historial de participación electoral forma parte del secreto del sufragio. La ciudadanía entrega datos solo para votar, no para exhibir ideologías. El Consejo para la Transparencia alertó que esto dejó a la comunidades expuestas a hostigamiento y persecución.
Finalmente, la firma Unholster calculó que, cruzando los datos filtrados con los resultados públicos por mesa, era posible predecir el comportamiento electoral con un éxito de entre el 70% y el 80%, dando a cualquier comando herramientas de microfocalización sin precedentes en el país.
El sumario administrativo concluyó con la destitución del investigador operativo que había solicitado la incorporación de los RUT. Las jefaturas de TI y de Comunicaciones fueron absueltas bajo el argumento de que la validación del archivo no formaba parte explícita de sus obligaciones formales. Esta narrativa ignoró que la falla fue estructural: no había protocolos de protección desde el diseño.
La impunidad directiva, no fue una anomalía circunstancial. El artículo 65 de la Ley Orgánica Constitucional N°18.556 establece que la remoción de los consejeros del SERVEL requiere una acusación ante la Corte Suprema instada por el presidente o por un tercio de la Cámara de Diputados: las mismas autoridades cuyos financiamientos de campaña y cuentas electorales son auditados y administrados exclusivamente por ese organismo. Ningún sector estuvo dispuesto a liderar una acusación formal contra el ente responsable de revisar su supervivencia financiera en cada ciclo electoral.
El 13 de diciembre del 2024 se publicó en el Diario Oficial la Ley N°21.719, que establece el marco nacional de protección y tratamiento de datos personales, con entrada en vigor programada para el 1 de diciembre del 2026. Esta crea la Agencia de Protección de Datos Personales, dotada de facultades fiscalizadoras y sancionatorias sobre organismos públicos y privados; consagra el principio de protección desde el diseño y, establece la responsabilidad administrativa directa del jefe superior del servicio público ante infracciones graves o reiteradas.
La Ley N°21.806 (02/26) adelantó facultades a la futura Agencia para que pudiera ejercer funciones regulatorias e interpretativas de manera anticipada. Sin embargo, mientras la Ley aguarda su entrada en vigor, avanza en el Senado el Proyecto de Ley bajo el Boletín N°18.060-07. Con el argumento de proteger la economía digital y facilitar el cumplimiento por parte de las empresas, propone acotar la definición legal de dato sensible y rebajar el techo de las multas por infracciones gravísimas de 20.000 a 5.000 UTM. Es decir, reducir a una cuarta parte la sanción máxima del principal mecanismo disuasivo antes de que ésta entre a regir.
Reducir la principal herramienta antes de que la ley opere no es un ajuste técnico menor: es una señal sobre las prioridades políticas reales. El Estado tardó cuatro años entre el incidente y la implementación de la ley. El caso demostró que los peores riesgos provienen de instituciones sin cultura organizacional ni controles adecuados. Cuando la gobernanza de datos se subordina a equilibrios de poder, la ciudadanía asume el costo. Por eso, ante la discusión en el Senado, la pregunta no es si las multas son muy altas para las empresas. La pregunta es: ¿cuánto vale tu privacidad?