En Guatemala, en las últimas semanas de abril de 2026, se encendieron las alarmas por la infiltración a los sistemas informáticos de al menos cinco instituciones del Estado (SAT, Renap, TSE, Mintrab, Mineduc) y tres centros de educación superior (USAC, URL y Galileo). Obtener las bases de datos institucionales que resguardan la información de miles de guatemaltecos resultó tan sencillo, que incluso en algunos espacios se habló de que parecía como si un puñado de estudiantes de informática deseara probar sus habilidades para vulnerar y explotar las brechas en el código de las instituciones, lo cual, además de bochornoso para las instituciones guatemaltecas, también fue alarmante. Alarmante porque Guatemala no ha sido lo suficientemente contundente con sus esfuerzos para construir una agenda de privacidad y protección de datos, sobre todo en un contexto en donde la tecnología y el desarrollo de la Inteligencia Artificial (IA) avanzan a un ritmo vertiginoso.
De alguna forma, haber postergado tanto esta discusión en Guatemala es entendible: hablar de privacidad, protección de datos y fortalecimiento institucional en materia de ciberseguridad tampoco suena como el tema más atractivo del mundo, especialmente en un país con otras prioridades. Sin embargo, esta problemática no deja de ser urgente y el escaso interés también se puede entender por otras razones: 1) No se ha traducido un tema tan técnico a uno más amigable y procesable para la ciudadanía en general; 2) Confiamos demasiado en la tecnología que estrechó nuestros vínculos, y nunca pensamos que representara un riesgo; 3) Como país, tenemos otras prioridades; 4) Adentrarnos en este asunto pareciera sumamente complejo e incómodo y quizás por eso hemos decidido no abordarlo; y 5) Simplemente, no nos importa.[1]
Vamos paso por paso. Mi tarea auto-asignada en este blog responderá específicamente a la razón número uno y cuatro, y mi objetivo será transformar estos conceptos, que parecieran tan complicados y técnicos, en algo más digerible y procesable, para que, con tiempo y suerte, encienda al menos un poco de pasión por el tema.
La privacidad como derecho
Imaginemos un mundo sin barreras, sin mecanismos reales de resguardo digital. Una realidad en donde nuestros datos, nuestra información privada es un conjunto de coronas, collares y aretes de piedras preciosas, exhibidos en una caja de vidrio protegida por apenas una cámara de seguridad. La escena puede sonar parecida al gran robo del Louvre ocurrido en octubre de 2025, cuando un grupo organizado irrumpió en el museo parisino, rompió cristales y robó alrededor de 88 millones de euros en joyas.
En Guatemala, la serie de hackeos fue similar al robo del Louvre. Un robo a plena luz del día, en donde los atacantes explotaron vulnerabilidades existentes en el sistema y accedieron a elementos muy valiosos. La diferencia radica en que, en el caso guatemalteco, el botín no es un puñado de joyas, sino que somos nosotros y nuestros datos personales.
Con frecuencia, los incidentes de ciberseguridad se abordan desde lo técnico: fallas en sistemas, debilidades en redes, errores humanos. Pero hay una dimensión que suele quedar en segundo plano: la de los derechos. Una filtración de datos no es solo un incidente informático. Es, ante todo, una vulneración al derecho de la privacidad.
Pero, ¿qué es la privacidad? ¿Qué es protección de datos? ¿Y cómo se diferencia una de otra?
Volvamos a la analogía del museo parisino que alberga alrededor de 35,000 obras de arte. Cada pintura, escultura o joya es única, de la misma forma en que lo son nuestros datos. Nuestro nombre, dirección, historial médico, fotografías, registro tributario, ubicación o hábitos de navegación digital conforman una parte de nuestra identidad. Ahora imaginemos que somos los propietarios de esas obras. La privacidad es el derecho a decidir quiénes podrán ver estas obras. Es la capacidad de establecer si una pieza o la colección entera serán expuestas al público, prestadas para una exposición temporal o resguardadas en la bóveda del museo. En otras palabras, la privacidad es, sobre todo, control: quién accede a la información, cuándo lo hace y con qué propósito. Con esto en mente, entremos con los tecnicismos: la privacidad es un derecho fundamental y natural, definido como la condición individual “…de las personas a controlar el acceso a su persona y a los datos relacionados con ella. Se refiere al derecho reconocido a las personas a tomar decisiones libres sobre la difusión de sus datos, en cualquier circunstancia y de cualquier forma.”
Por otro lado, la protección de datos son todas aquellas medidas que el museo implementa para resguardar las obras. Son los detectores de metales en la entrada, los guardias de seguridad, sistemas de monitoreo, los protocolos de acceso restringido, las reglas que impiden que las personas toquen o retiren una pieza sin autorización, incluso puede ser una vitrina de cristal fácil de romper. Es, en otras palabras, el sistema de reglas técnicas y legales que operativizan ese derecho en la era digital, regulando todas las etapas del procesamiento de información que identifica a una persona: recolección, almacenamiento, uso y su eventual destrucción.
La diferencia ahora queda clara: mientras que la privacidad responde a quién puede ver la obra, la protección de datos responde a cómo nos aseguramos de que la obra permanezca segura. Cuando una plataforma, sitio web, aplicación u organización recopila nuestros datos personales, ocurre algo similar. Entregamos una obra de arte al museo para su custodio y esto no significa alienarse de la propiedad sobre ella, pero sí delegar la responsabilidad de resguardarla. En otras palabras, entregar una obra o nuestros datos significa depositar confianza para que esos datos sean utilizados con una finalidad específica y existan medidas adecuadas para protegerlos. Si el sistema falla y alguien roba la información, se vuelve una vulneración a la confianza depositada por el propietario.
Por eso, cuando se produce una filtración o una serie de hackeos masivos de datos, el problema trasciende lo tecnológico y abarca el campo de los derechos humanos. No se trata únicamente de servidores comprometidos, también es exponer y ventilar nuestra información más privada y fragmentos de nuestra identidad, al alcance de todo público. Si bien una pregunta relevante es cómo ocurrió el robo, una pregunta más importante es por qué las medidas de protección resultaron insuficientes para resguardar algo tan valioso.
La caja de cristal que resguarda los datos de Guatemala
Hasta ahora, hemos hablado de las obras, de su exhibición y de los mecanismos que las protegen. Pero hay un elemento adicional en esta historia: los propietarios de las piezas. Porque, aunque una obra sea trasladada al Louvre para su conservación o exposición, su dueño no desaparece. Conserva una serie de derechos sobre la obra. Puede conocer dónde se encuentra, solicitar información sobre su estado, autorizar ciertos usos, limitar otros e incluso exigir su devolución bajo determinadas condiciones. A esto también se le puede conocer como habeas data, una garantía que permite a las personas ejercer el derecho para conocer lo que de ella conste en archivos, fichas, registros o cualquier otra forma de registros públicos, y la finalidad a la que se dedica esta información, así como a su protección, corrección, rectificación o actualización.
Pero el derecho al habeas data no garantiza vitrinas blindadas ni sistemas de protección más avanzados. Para llegar a eso necesitamos un reglamento integral que establezca responsabilidades, obligaciones y consecuencias. O bien, una Ley Integral de Protección de Datos. En Guatemala, si bien existen algunos acercamientos a la protección de datos y delitos de ciberseguridad, como las iniciativas 6103, 6572, 6347,[2] estas se encuentran en distintas comisiones a la espera de estudios y dictámenes favorables de forma separada. Aprobar una de estas leyes en el calor del momento podría parecer la solución más intuitiva ante los ciberataques, sin embargo, la acción podría también terminar en el equivalente de solo colocar una capa de vidrio más resistente que la anterior. En otras palabras, aprobar una ley sin mayor trámite podría ser una medida que en el corto plazo genere cierto grado de seguridad, pero no es una solución estructural, y eventualmente puede que otro grupo tenga herramientas más avanzadas para romper el nuevo cristal.
Algo similar ocurre con la protección de datos. Los incidentes de ciberseguridad suelen generar una presión legítima por actuar con rapidez, pero legislar en medio de la urgencia puede conducir a soluciones enfocadas en el problema más visible, en lugar de construir un marco integral capaz de prevenir las vulnerabilidades y responder a los desafíos presentes y futuros. Afortunadamente, siempre hay un aspecto positivo de no estar a la vanguardia en materia de protección de datos: podemos aprender del caso y entender cómo otros países ya han abordado el tema.
Un sistema de seguridad al estilo THE MET
En el mundo, uno de los referentes más sólidos en materia de protección de datos es el Reglamento General de Protección de Datos de la Unión Europea, conocido como GDPR. El corazón de este reglamento se encuentra en la operativización de la protección de datos como un derecho fundamental. Es decir, el GDPR no trata la protección de datos como un requisito administrativo ni una práctica opcional, sino como una obligación, que al igual que cualquier otro derecho, debe ser garantizado por el Estado. A diferencia de Guatemala, donde no existe una ley integral en la materia, el GDPR establece un equilibrio claro entre garantía de derechos a las personas, por un lado; y por otro, impone límites y obligaciones estrictas a quienes manejan datos de ciudadanos de la Unión Europea.
Dentro de ese primer grupo, se encuentran los derechos ARCO, acrónimo de Acceso, Rectificación, Cancelación (o supresión) y Oposición, consolidados inicialmente en la legislación española. La importancia de los derechos ARCO es que otorgan al usuario soberanía sobre sus propios datos, devolviendo la capacidad real de decisión sobre su información. Estos derechos no operan en el vacío, ya que su efectividad depende de un segundo componente: los principios que rigen el tratamiento de datos. En su artículo 5, el GDPR establece seis principios fundamentales, junto con uno transversal de responsabilidad proactiva, que deben guiar cualquier actividad de procesamiento.
En primer lugar, el tratamiento debe ser “lícito, leal y transparente”: no basta con tener una base legal; también debe realizarse sin engaños y con información clara hacia las personas. A esto se suma la “limitación de la finalidad”, que impide recolectar datos sin un propósito específico o reutilizarlos de forma arbitraria. Bajo esta lógica, también opera la “minimización de datos”, que exige recolectar únicamente lo estrictamente necesario, evitando la acumulación innecesaria de información. Otros principios refuerzan la calidad y el control del dato: la “exactitud”, que obliga a mantener la información actualizada, y la “limitación del plazo” de conservación, que impide almacenar datos indefinidamente. Finalmente, la “integridad y confidencialidad” establecen la obligación de proteger la información frente a accesos no autorizados, pérdidas o daños. Sobre todos estos se sostiene un elemento clave: la responsabilidad proactiva (accountability). Este último principio exige poder demostrar ese cumplimiento, e implica documentación, controles internos, evaluaciones de impacto y, en ciertos casos, la designación de responsables específicos. En la práctica, estos siete principios convierten al GDPR en un marco exigible y no meramente declarativo.
Tabla 1. Principios fundamentales para el tratamiento de datos personales
Fuente: Elaboración propia con datos de la Comisión Irlandesa de Protección de Datos (DPC)
Al final, la discusión sobre protección de datos nunca ha sido realmente de datos ni de números de DPI, direcciones IP, bases de datos o servidores comprometidos. Se trata, esencialmente, de las personas, de la capacidad que tenemos para decidir qué aspectos de nuestra vida compartimos, con quién los compartimos y bajo qué condiciones.
Regresemos una última vez al Louvre. Imaginemos que, una mañana, despertamos y descubrimos que las vitrinas están rotas, algunas obras desaparecieron, fueron movidas de lugar, alteradas, otras siguen ahí pero cualquiera puede acercarse a tocarlas, fotografiarlas o llevárselas. En este escenario, nos preguntamos por qué un patrimonio tan valioso permaneció expuesto durante tanto tiempo sin mecanismos reales de seguridad. En Guatemala, definitivamente ocurrirá otro incidente de ciberseguridad, es parte de los retos que debemos afrontar en un mundo digitalizado y con constantes avances en las tecnologías de la información. No obstante, la pregunta es: ¿cómo lo vamos a abordar? ¿Mantendremos el mismo cristal? ¿Colocaremos una segunda capa de vidrio más fuerte? o ¿Diseñaremos un sistema de seguridad al estilo MET?