Datos personales y la vigilancia terrorista: ¿una relación contraintuitiva a propósito del IMSI Catcher?

El uso de la tecnología IMSI Catcher incluido en la nueva Ley Antiterrorista abre una peligrosa ventana que involucra la privacidad de los datos personales de los ciudadanos. La autora de esta columna escrita para CIPER profundiza en el tema que intenta resolver problemas de la sociedad. Sostiene que “en un mundo donde la criminalidad evoluciona, la vigilancia puede parecer la solución. Pero entregar nuestra privacidad a cambio no es la respuesta. Pese a los avances legales, queda claro que el respeto a las garantías individuales sigue siendo un terreno frágil”.

La reciente promulgación de la Ley Nº 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, marca un hito en el derecho chileno. Su objetivo principal es ambicioso: posicionar a Chile como un país adecuado para el tratamiento de datos personales posicionando y empoderando a sus titulares como controladores reales de sus datos personales. Sin embargo, esta aspiración parece chocar de frente con legislaciones como la nueva ley antiterrorista (Boletín 16224-25), próxima a ser promulgada, que, bajo el pretexto de la justicia y la lucha contra el terrorismo, autoriza prácticas que podrían socavar principios esenciales de protección de datos.

¿Qué son los datos personales y en qué consiste el tratamiento de estos? Según la ley, dato personal es “cualquier información vinculada o referida a una persona natural identificada o identificable”: nombre, número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 2 f). Por su parte el dato sensible, con un ámbito de protección intensificado se refiere a datos relativos a las características físicas o morales de las personas, a hechos o circunstancias de su vida privada o intimidad, al origen étnico, afiliación política, religión, etc. (art. 2 g). El contenido del dato es amplio, es todo lo relativo a la persona natural, pero la conducta regulada también lo es. El denominado “tratamiento de datos personales” puede ser desde recoger, guardar hasta traspasarlos a terceros, es decir, la mera base de datos alojada (incluso olvidada) en un computador es ya tratamiento. Básicamente, tratamiento es todo. Si una empresa u organismo público o privado tiene una base de datos o intercambia correos electrónicos con una persona ya está tratando datos personales.

La Ley Nº 21.719 establece un marco robusto de garantías. En su artículo 24, regula regímenes especiales de tratamiento, permitiendo el uso de datos personales sensibles para fines como la prevención, investigación y persecución de delitos. Sin embargo, esto está condicionado al cumplimiento de principios rectores como proporcionalidad, seguridad y confidencialidad. Estas medidas deben ser necesarias, proporcionales (tratamiento mínimo de datos y por un tiempo acotado) y justificadas por finalidades específicas autorizadas por ley. Todo esto suena razonable sobre el papel, pero la implementación real suscita interrogantes, especialmente frente al uso de tecnologías intrusivas como el IMSI Catcher.

El IMSI Catcher, para quienes no estén familiarizados, es una herramienta de vigilancia que actúa como una antena de telefonía móvil, capturando identificadores IMSI (International Mobile Subscriber Identity) de dispositivos cercanos. Su funcionamiento se asemeja al ataque de «man-in-the-middle», impidiendo que los dispositivos se conecten a estaciones base legítimas para interceptar datos de señal y conexión. Aunque se argumenta que estas tecnologías se emplean para determinar ubicaciones o crear perfiles de movimiento de sospechosos, su capacidad de captación masiva de datos afecta también a personas ajenas a cualquier investigación. Esta especie de «pesca de arrastre» compromete la privacidad de personas inocentes y genera dudas sobre el manejo de estos datos. Por ejemplo, ¿qué ocurre si los funcionarios que analizan estas comunicaciones descubren evidencia de otros delitos? Según el artículo 175 del Código Procesal Penal chileno, los funcionarios públicos tienen la obligación de denunciar cualquier delito conocido, lo que podría transformar una herramienta excepcional en un mecanismo de vigilancia generalizada, habilitando un uso desproporcionado de la información recolectada.

Legalmente, tecnologías como el IMSI Catcher deberían usarse bajo criterios estrictos de excepcionalidad. La nueva ley antiterrorista refuerza esta idea al exigir en su artículo 19 que este tipo de medidas sean de ultima ratio (último recurso), es decir, que sólo se recurra a ellas cuando las alternativas sean insuficientes. Sin embargo, no podemos ignorar lo ocurrido con la prisión preventiva, que de medida excepcional pasó a ser aplicada indiscriminadamente, muchas veces influenciada por la presión mediática. Si una lógica similar permea las medidas de vigilancia, como el uso del IMSI Catcher, ¿qué queda del balance entre seguridad y libertad? La historia ha demostrado que las herramientas otorgadas al Estado en nombre de la seguridad rara vez se restringen; por el contrario, tienden a perpetuarse y expandirse.

En el contexto del terrorismo, estas preocupaciones adquieren una dimensión alarmante. Como señala la académica Myrna Villegas en una columna escrita para CIPER, “si todo es terrorismo, nada lo es”. La nueva ley antiterrorista amplía peligrosamente el concepto, permitiendo que incluso individuos actuando de manera aislada sean calificados como terroristas, eliminando el requisito de una organización como elemento central. Este abuso potencial, combinado con tecnologías de vigilancia masiva, pone en riesgo derechos fundamentales como el artículo 19 N°4 de la Constitución chilena sobre privacidad y protección de datos personales.

Además, no basta con analizar la legitimidad en la recopilación de datos; también debemos cuestionar la capacidad del Estado para garantizar su seguridad. Los recientes casos de filtraciones de datos sensibles relacionados con delitos sexuales revelan serias deficiencias, ya sea por errores humanos o técnicos. Si el Estado no logra proteger información tan delicada, ¿cómo podemos confiar en que resguardará adecuadamente los datos capturados por tecnologías como el IMSI Catcher? Basta recordar los casos Schrems I y II del Tribunal de Justicia de la Unión Europea, que condenaron a Facebook por no garantizar un nivel adecuado de protección en la transferencia de datos entre la UE y EE.UU. Chile, ¿realmente está preparado para cumplir con estándares similares?

La tecnología debe ser una herramienta al servicio de la justicia, no un caballo de Troya que erosione los derechos fundamentales. La Ley Nº 21.719 establece principios claros —proporcionalidad, finalidad específica y seguridad— que deben guiar cualquier tratamiento de datos personales. Desviarse de estos principios es abrir la puerta a abusos que podrían transformar al protector en agresor.

Por último, es imperativo destacar que el debate entre seguridad y privacidad no es exclusivo de Chile. Democracias sólidas han enfrentado dilemas similares y, en muchos casos, han optado por fortalecer la protección de los derechos individuales. Chile, en su etapa inicial de discusión, tiene la oportunidad de aprender de estas experiencias. Sin embargo, si no actúa con prudencia, el riesgo de caer en excesos es alto. La pregunta sigue siendo la misma: ¿estamos dispuestos a sacrificar nuestra privacidad y derechos fundamentales a cambio de una seguridad ilusoria?

En un mundo donde la criminalidad evoluciona, la vigilancia puede parecer la solución. Pero entregar nuestra privacidad a cambio no es la respuesta. Pese a los avances legales, queda claro que el respeto a las garantías individuales sigue siendo un terreno frágil. ¿Es esta la sociedad en la que queremos vivir: vigilados hasta la médula, como sospechosos permanentes, bajo la promesa de un Estado que vela por nuestra seguridad?