El Delito de Abuso de Información Privilegiada en Mercados Financieros
Debido a la alarma social por las infracciones más graves y a sus potenciales perjuicios a instituciones tan sensibles como los mercados financieros, provocados por los abusos de información privilegiada, el legislador penal se vio obligado a tipificar esta conducta en el Código Penal de 1995. El delito de abuso de información privilegiada constituye una conducta punible de carácter económico/financiero que causa daños a intereses generales.
En España, la tipificación penal del abuso de información privilegiada llegó más bien tarde, si se compara con las naciones del entorno. Las bases con las que esta tipificación contaba cuando se llevó a cabo fueron las propias del modelo económico de libertad de empresa creado por la Constitución española. Habida cuenta del carácter inmaterial de este bien jurídico plural, sus características y elementos son más propios de un delito de peligro que de resultado.
Si bien es innegable la existencia de una condición objetiva de punibilidad, la de la cuantía, el legislador la ha utilizado como baremo de gravedad y de alarma socioeconómica para la actuación del sistema penal. La tipificación penal del abuso de información privilegiada no pudo ser más acertada, ya desde el Código Penal de 1995. Sin embargo, una cuestión diferente ha sido su aplicación hasta la fecha, pues solo ha habido dos condenas por la comisión de este delito; considerándose más que probable que, en el transcurso de estos años, se hayan cometido más abusos susceptibles de ser perseguidos desde la órbita del Código Penal que los que se han llegado a juzgar y condenar.
El uso de información privilegiada es un delito económico que ocurre cuando una persona accede a información relevante, aún no pública, y la utiliza para obtener ventajas en el mercado de valores. Este tipo de conducta no solo vulnera la transparencia del mercado, sino que daña la confianza de los inversionistas y puede generar grandes perjuicios a terceros. En Chile, la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas, incluye desde 2018 el uso de información privilegiada como uno de los delitos por los cuales una empresa puede ser sancionada penalmente, sin que la empresa haya tenido conocimiento directo del delito. El uso de información privilegiada es uno de los delitos más difíciles de detectar, pero también uno de los más castigados por su impacto en la equidad del mercado.
La Protección de Datos Personales y los Desafíos de la Anonimización
Saber cuántos somos, cómo estamos en salud, en educación, cómo votamos, cuáles son nuestros orígenes, entre otros datos, genera un consenso generalizado sobre la necesidad de que esta información sea accesible para quienes buscan crear políticas públicas, innovar, investigar o estudiar. Sin embargo, surge la pregunta: ¿cómo velamos por la privacidad de los datos individuales en un mundo donde cada vez es más fácil manejar enormes cantidades de información?
Federico Olmedo, académico del Departamento de Ciencia de la Computación (DCC) de la Universidad de Chile e investigador del Instituto Milenio Fundamentos de los Datos (IMFD), destaca que «la privacidad y la seguridad de nuestros datos son áreas que cada día se están viendo más afectadas por los avances en el área de informática».
Estudio sobre Anonimización de Datos en Chile
Un estudio reciente titulado «Un estudio de anonimización de Datos en el sector público de Chile», realizado por investigadores del DCC de la Universidad de Chile y el IMFD, fue presentado en las Jornadas Chilenas de Computación 2025. Este trabajo expone fallas significativas en las prácticas de anonimización de microdatos liberados por instituciones públicas chilenas y el enorme desafío que enfrentarán todas las organizaciones ante la entrada en vigor de la nueva Ley de Protección de Datos (Ley N° 21.719).
Los investigadores Tomás Rivas, Federico Olmedo y Matías Toro, todos del Departamento de Ciencias de la Computación de la Universidad de Chile, llevaron a cabo una evaluación sistemática de la efectividad de las técnicas de anonimización aplicadas a conjuntos de datos públicos en áreas sensibles como la salud, la educación, la migración y los procesos electorales.
La investigación se basa en un exhaustivo análisis de las propiedades estructurales de la privacidad de diferentes bases de datos de instituciones públicas chilenas, que están disponibles para el público general. Matías Toro Ipinza, también investigador IMFD y académico DCC U. Chile, señala: «En este análisis, seleccionamos cinco bases de datos, que nos deberían entregar información estadística y anónima sobre salud, educación, migración y elecciones. Cada uno de estos datasets fueron seleccionados con criterios de sensibilidad, granularidad de los microdatos y disponibilidad pública».
Las técnicas utilizadas buscan tensionar y probar la privacidad de estos datasets, usando métodos estructurales. Esto permitió demostrar que la mayoría de estas bases de datos tienen debilidades estructurales. Tomás Rivas, autor principal de la investigación y miembro del DCC U. Chile, afirma: «En particular, encontramos que una gran parte de los datos de estas bases de datos pueden ser identificados individualmente, y demostramos que estas vulnerabilidades no son solo teóricas».
Para esto, los investigadores formularon ataques realistas bajo el concepto del «intruso motivado», un modelo que considera a un usuario común con intenciones de conseguir información. Con esta prueba, lograron confirmar que la información personal de los individuos en estas bases de datos puede ser recuperada, lo que significa que se puede identificar individualmente a las personas cuyos datos están en estas bases de datos supuestamente anonimizadas. Estos ataques confirmaron que información personal sensible -como el decil de ingresos del hogar, el comportamiento de voto o el resultado de una solicitud de residencia- puede ser inferida y recuperada en la práctica con un esfuerzo moderado. El estudio logró desanonimizar exitosamente individuos en cuatro de los cinco conjuntos de datos evaluados.
Impacto de la Nueva Ley de Protección de Datos Personales en Chile
Los hallazgos de este estudio cobran una relevancia crítica en el contexto de la nueva Ley de Protección de Datos Personales de Chile (Ley N° 21.719). La investigación subraya una brecha crítica entre el cumplimiento legal y la protección efectiva de la privacidad. Olmedo destaca que «esta ley hace que Chile pueda avanzar en un marco de gobernanza de datos modernizado, acercándose a normas internacionales como el GDPR de la Unión Europea».
Sin embargo, la ley establece un requisito estricto: el dato anonimizado es aquel cuya identificación individual está irreversiblemente excluida. El estudio demuestra que las prácticas actuales de anonimización aplicadas por las instituciones públicas chilenas no cumplen con este estándar. Federico Olmedo añade: «También vemos que hay interés de las autoridades y de las organizaciones públicas, pues en el marco de este trabajo, contactamos a las instituciones y son varias las que ya están tomando medidas».
Los investigadores enfatizan que, si bien la ley se implementará completamente para diciembre de 2026, actualmente no proporciona estándares técnicos concretos para la anonimización. Sus resultados exponen la necesidad urgente de orientación técnica clara y robusta, idealmente emitida por la recién creada Agencia de Protección de Datos Personales, para asegurar que las instituciones públicas puedan salvaguardar la privacidad individual y lograr el cumplimiento regulatorio.
Seminario web “Cumplimiento de la nueva Ley de protección de datos personales”
Soluciones y Perspectivas Futuras
Sobre el trabajo a futuro, Olmedo destaca que es interesante ampliar el análisis a otros conjuntos de datos, así como hacer un seguimiento de cómo los cambios en las bases de datos pueden modificar los riesgos de re-identificación. Además, los investigadores proponen trabajar en herramientas automatizadas que permitan a los organismos públicos evaluar los riesgos de re-identificación antes de publicar los datos.
Incidentes de Vulneración de Datos Personales: El Caso del Servel en Chile
La publicación de datos de cerca de quince millones de personas por parte del Servicio Electoral (Servel) ha sido el incidente más reciente en una extensa lista que confirma una absoluta falta de protección en la materia en Chile. En una ocasión, se reveló que el Servel había subido a su página web una base de datos con la información personal de casi quince millones de chilenos, correspondiente al padrón de personas habilitadas para participar en la elección municipal de mayo de 2021.
La base de datos contenía además información referida a la militancia en partidos políticos, contraviniendo el artículo 19 número 5 de la Constitución vigente, que estipula el deber de registrar la nómina de los militantes en el Servel y la obligación de guardar reserva de esa información, con el propósito de proteger a las personas contra la discriminación por razones políticas. Se daban a conocer además los datos personales en torno a haber votado en las pasadas elecciones municipales y en qué día (15 o 16 de mayo).
Aunque no existe norma expresa que obligue al Servel a guardar reserva de esta información, esto no significa que darla a conocer no constituya una vulneración a los derechos de los ciudadanos, como equivocadamente concluyó Andrés Tagle, director del Servel. Cabe recordar que a mediados de 2018 se incorporó a la Constitución el derecho a la protección de los datos personales. De esta manera, el carácter privado o público de la información carece de relevancia cuando concierne a personas, puesto que los datos personales solo pueden ser tratados en la forma y condiciones que determine la ley; es decir, cuando exista una disposición legal específica para ello o con consentimiento del o la titular de los datos.
Todo lo anterior es gravísimo, y se estima que no ha merecido el repudio generalizado y vehemente que algo así merecería, tratándose de un organismo público. Desde Servel asumieron el error como una vulneración de sus procedimientos internos, mientras que el Consejo para la Transparencia ofició al Servicio Electoral para que entregue los antecedentes del caso. Con todo, se trata de una reacción bastante discreta frente a la que podría ser la mayor vulneración de datos personales en la historia del servicio.
Ciertamente, la falta de mecanismos de protección efectiva ha creado un terreno fecundo para el florecimiento de todo tipo de prácticas reprochables e ilegales, amparadas en la impunidad que garantiza una ley más interesada en proteger los intereses económicos de los negocios dedicados al procesamiento de datos personales que a las personas. Por lo mismo, que el gobierno le haya dado urgencia al proyecto que regula la protección y el tratamiento de los datos personales, tras casi una década de tramitación, es una buena noticia.
Sin embargo, es necesario que la nueva normativa cuente con herramientas adecuadas para ejercer su propósito. Esto incluye sanciones verdaderamente disuasivas, en lugar de las multas irrisorias que contempla la ley actual, con un monto máximo de 50 UTM. La publicación de información personal por parte del Servel demuestra, además, lo importante que es eliminar la autorización para el tratamiento de datos cuando estos se encuentren en una fuente de acceso público. Uno de los problemas con esta disposición es que la definición de «fuentes de acceso público» es tan amplia que casi cualquier cosa califica bajo ese rótulo. Así, por ejemplo, es lícito utilizar la información disponible en una base de datos que haya sido robada y publicada en internet.
Evidentemente, el carácter prioritario que le ha dado el Gobierno a la discusión sobre una nueva ley de datos personales es un paso importantísimo en la senda correcta. Al mismo tiempo, la Convención Constitucional ha dado una señal poderosa en la misma dirección, al aprobar la creación de una autoridad pública en materia de datos personales en la nueva Constitución. De cualquier forma, son cambios que requieren tiempo para ser implementados.
Análisis Jurisprudencial sobre el Abuso de Información Privilegiada
En un caso de reclamación, se invoca como primer argumento que se habría infringido el principio de legalidad. La resolución agrega que: «El deber de abstención a que se refiere la norma legal en comento le imponía la obligación de inhibirse de adquirir o vender valores sobre los cuales recaía tal información; lo que no ocurrió, sino que, por el contrario, realizó las operaciones que se particularizaron precisamente en el motivo cuarto precedente, lo que se encuadra en la hipótesis de la parte final del inciso primero del artículo en análisis».
Como segunda argumentación, se cuestionó que en la Resolución Sancionatoria se haya considerado la operación de 21 de diciembre de 2020, por la venta de 3.230 acciones de CAP como una operación distinta a la operación del día 28 del mismo mes, siendo que, como expuso el recurrente, se trataba de una sola. Esta alegación fue desestimada, por cuanto la conclusión a la que se llegó en la investigación y por la cual se sancionó, es que se trataba de dos actos jurídicos distintos, lo cual se desprende de su lectura en los puntos 15; 15.1 y 15.2; 15.3 y 15.4.
Para el tribunal de alzada: «Por todo lo antes razonado, la recurrida se ha ajustado a la legalidad, encontrándose las Resoluciones impugnadas debidamente fundadas, con estricto apego a las normas constitucionales y legales que se han denunciado; mas parece que lo que ha hecho el reclamante es manifestar su disconformidad en la forma que se ha decidido resolver este proceso administrativo de carácter sancionatorio, y que ha tenido todas las instancias para modificar la decisión que le impuso una multa».