Brecha crítica: Revelan vulnerabilidades en la anonimización de datos públicos ad portas de la nueva Ley de Protección de datos
Saber cuántos somos, cómo estamos en salud, en educación, cómo votamos, cuáles son nuestros orígenes: Hay un consenso general en estos datos deben ser accesibles para quienes buscan crear políticas públicas, innovar, investigar, estudiar y mucho más. Pero, ¿cómo velamos por la privacidad de los datos individuales en un mundo donde cada vez es más fácil manejar enormes cantidades de datos?
“La privacidad y la seguridad de nuestros datos son áreas que cada día se están viendo más afectadas por los avances en el área de informática”, destaca Federico Olmedo, académico del DCC U. Chile e investigador del Instituto Milenio Fundamentos de los Datos. El trabajo “Un estudio de anonimización de Datos en el sector público de Chile”, realizado por investigadores del Departamento de Ciencia de la Computación (DCC) de la Universidad de Chile y el Instituto Milenio Fundamentos de los Datos (IMFD) fue recientemente presentado en las Jornadas Chilenas de Computación 2025, realizadas en la Pontificia Universidad Católica de Valparaíso.
Este trabajo expone fallas significativas en las prácticas de anonimización de microdatos liberados por instituciones públicas chilenas, y el enorme desafío que enfrentarán todas las organizaciones en miras a la entrada en vigor de la nueva Ley de Protección de Datos (Ley N° 21.719).
Los investigadores Tomás Rivas, Federico Olmedo, y Matías Toro, todos del Departamento de Ciencias de la Computación de la Universidad de Chile, llevaron a cabo una evaluación sistemática de la efectividad de las técnicas de anonimización aplicadas a conjuntos de datos públicos en áreas sensibles como salud, educación, migración y procesos electorales.
El trabajo de investigación se basa en un exhaustivo análisis de las propiedades estructurales de la privacidad de diferentes bases de datos de instituciones públicas chilenas, que están disponibles para público general. “En este análisis, seleccionamos cinco bases de datos, que nos deberían entregar información estadística y anónima sobre salud, educación, migración y elecciones. Cada uno de estos datasets fueron seleccionados con criterios de sensibilidad, granularidad de los microdatos y disponibilidad pública”, destaca Matías Toro Ipinza, también investigador IMFD y académico DCC U. Chile.
Las técnicas utilizadas buscan tensionar y probar la privacidad de estos datasets, usando métodos estructurales, lo que permitió demostrar que la mayoría de estas bases de datos tienen debilidades estructurales: “En particular, encontramos que una gran parte de los datos de estas bases de datos pueden ser identificados individualmente, y demostramos que estas vulnerabilidades no son sólo teóricas”, señala Tomás Rivas, DCC U. Chile y autor principal de la investigación.
Para esto, los investigadores formularon ataques realistas bajo el concepto del intruso motivado: un modelo que se usa para este tipo de pruebas que considera a un usuario común, con intenciones de conseguir información. Con esta prueba, lograron confirmar que la información personal de los individuos de estas bases de datos puede ser recuperada, y que por lo tanto, se puede identificar individualmente a las personas cuyos datos están en estas bases de datos supuestamente anonimizadas.
Estos ataques confirmaron que información personal sensible —como el decil de ingresos del hogar, el comportamiento de voto, o el resultado de una solicitud de residencia— puede ser inferida y recuperada en la práctica con un esfuerzo moderado. El estudio logró desanonimizar exitosamente individuos en cuatro de los cinco conjuntos de datos evaluados.
Nueva normativa nacional
Los hallazgos de este estudio cobran una relevancia crítica en el contexto de la nueva Ley de Protección de Datos Personales de Chile (Ley N° 21.719). La investigación subraya una brecha crítica entre el cumplimiento legal y la protección efectiva de la privacidad. “Esta ley hace que Chile pueda avanzar un marco de gobernanza de datos modernizado, acercándose a normas internacionales como el GDPR de la Unión Europea”, destaca Olmedo.
Sin embargo, la ley establece un requisito estricto: el dato anonimizado es aquel cuya identificación individual está irreversiblemente excluida. El estudio demuestra que las prácticas actuales de anonimización aplicadas por las instituciones públicas chilenas no cumplen con este estándar. “También vemos que hay interés de las autoridades y de las organizaciones públicas, pues en el marco de este trabajo, contactamos a las instituciones y son varias las que ya están tomando medidas”, destaca Federico Olmedo.
Los investigadores enfatizan que, si bien la ley se implementará completamente para diciembre de 2026, actualmente no proporciona estándares técnicos concretos para la anonimización. Sus resultados exponen la necesidad urgente de orientación técnica clara y robusta, idealmente emitida por la recién creada Agencia de Protección de Datos Personales, para asegurar que las instituciones públicas puedan salvaguardar la privacidad individual y lograr el cumplimiento regulatorio.
Soluciones locales para problemas nuestros
Sobre el trabajo a futuro, Olmedo destaca que es interesante ampliar el análisis a otros conjuntos de datos, como también hacer un seguimiento de cómo los cambios en las bases de datos pueden modificar los riesgos de re-identificación. Además, los investigadores proponen trabajar en herramientas automatizadas que permitan que los organismos públicos puedan utilizar para evaluar los riesgos de reidentificación antes de publicar los datos. “Tenemos que tener la capacidad local, como país, de desarrollar herramientas automatizadas: es muy poco probable que una solución pensada desde otra realidad, como la de los países del norte global en los cuales ya se han planteado estos desafíos, pueda ser directamente aplicada en la realidad de nuestras bases de datos nacionales, por lo que la promoción de la investigación, innovación y estudio de estos temas es vital para nuestras comunidades académicas y también de desarrollo”.