Decisiones automatizadas y Ley 21.719: derechos del titular y obligaciones de la organización
El uso de algoritmos para tomar decisiones que afectan a personas — aprobar o denegar crédito, seleccionar candidatos, calcular primas de seguro, determinar precios, activar sistemas de detección de fraude — es una realidad extendida en Chile. Y con la Ley 21.719, que entra en plena vigencia el 1 de diciembre de 2026, estas decisiones estarán sujetas a un derecho específico: el derecho de revisión y de conocer la lógica del proceso automatizado.
Este artículo analiza las disposiciones de la Ley 21.719 en profundidad — qué exige la ley, qué deben implementar las organizaciones y cuáles son los desafíos técnicos de cumplimiento.
Qué es una decisión automatizada para los efectos de la Ley 21.719
La Ley 21.719 establece que el titular tiene el derecho de no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales — incluido el perfilamiento — que produzca efectos jurídicos o que le afecte significativamente de forma similar.
La palabra clave es "únicamente". Para que el régimen de protección se aplique en su plenitud, la decisión debe haber sido tomada exclusivamente por el algoritmo — sin revisión humana real y substantiva del caso específico.
Lo que no es una "decisión únicamente automatizada"
Hay situaciones en que el algoritmo participa, pero la decisión no es "únicamente" automatizada:
- Un ejecutivo bancario que revisa la recomendación del sistema de score antes de decidir sobre un crédito
- Un reclutador que usa triaje de IA pero evalúa individualmente a los candidatos finalistas
- Un analista de fraude que confirma alertas automáticas antes de bloquear una cuenta
Atención: lo que importa es si hubo revisión humana real, no formal. Si el humano simplemente refrenda la decisión del sistema sin análisis independiente, la decisión sigue siendo, en la práctica, puramente automatizada.
Decisiones que "afectan significativamente" al titular
La ley no exige que la decisión cause un daño grave — basta con que afecte significativamente los intereses del titular. Decisiones que se encuadran:
- Concesión, negación o limitación de crédito
- Contratación o rechazo en proceso de selección
- Cálculo diferenciado de prima de seguro
- Fijación diferenciada de precios por perfil conductual
- Bloqueo o suspensión de cuenta en plataforma digital
- Determinación de elegibilidad para beneficios
- Moderación de contenido con consecuencias para el usuario
Los derechos del titular
1. Derecho a no ser objeto de decisiones puramente automatizadas
El titular puede solicitar que la decisión automatizada sea revisada por un ser humano. No es un derecho a obtener una decisión diferente — es el derecho a que un humano competente reevalúe el caso con atención al individuo específico, no solo al perfil estadístico.
El responsable debe:
- Tener un proceso definido para recibir y tramitar las solicitudes de revisión
- Designar quién conduce la revisión, con autoridad real para cambiar la decisión
- Responder en el plazo establecido por la Ley 21.719 para derechos de los titulares
- Comunicar el resultado de la revisión al titular
2. Derecho a conocer la lógica del proceso
El titular puede solicitar información clara y adecuada sobre los criterios y los procedimientos utilizados para la decisión automatizada.
Esto implica una obligación de explicabilidad — el responsable debe ser capaz de describir, en lenguaje comprensible:
- Qué datos fueron utilizados en la decisión
- Cómo esos datos influyeron en el resultado
- Qué características del titular pesaron en la decisión
- Cuál fue la lógica general del proceso
Salvaguarda de secreto comercial: la ley puede permitir que el responsable no revele detalles que constituyan secreto comercial o industrial. Sin embargo, esa protección no es absoluta: la APDP tendrá poderes para auditar el sistema cuando se invoque el secreto comercial, verificando la ausencia de aspectos discriminatorios en el tratamiento automatizado.
La obligación de explicabilidad en la práctica
La exigencia de explicabilidad crea un desafío técnico real: los modelos de machine learning complejos — especialmente las redes neuronales profundas — son frecuentemente "cajas negras" cuyas decisiones son difíciles de explicar en términos comprensibles.
El problema de los modelos black-box
Un modelo de crédito basado en regresión logística puede explicar claramente "su solicitud fue denegada porque su índice de compromiso de ingresos está por encima del límite establecido". Un modelo de deep learning con cientos de variables y miles de parámetros no puede ofrecer esa explicación directamente.
Técnicas de explicabilidad
Existen enfoques desarrollados específicamente para hacer los modelos opacos más explicables:
LIME (Local Interpretable Model-agnostic Explanations): genera una explicación local para una decisión específica, identificando qué características influyeron más en ese resultado individual.
SHAP (SHapley Additive exPlanations): calcula la contribución de cada característica a una predicción específica, con base en la teoría de juegos cooperativos. Produce explicaciones consistentes y matemáticamente fundamentadas.
Estas técnicas permiten que un sistema de decisión automatizada produzca, para cada decisión individual, una lista de las principales razones que llevaron a ese resultado — información que puede comunicarse al titular de forma comprensible.
Implicación para el cumplimiento: las organizaciones que utilizan modelos complejos para decisiones que afectan a titulares deben evaluar si tienen capacidad para generar explicaciones individuales. Si no la tienen, necesitan implementar esa capacidad o migrar hacia modelos más interpretables para los casos de mayor impacto.
Perfilamiento (profiling) y su relación con las decisiones automatizadas
El perfilamiento es el tratamiento automatizado de datos personales para evaluar aspectos personales de un individuo — particularmente para analizar o predecir comportamiento, preferencias, confiabilidad, situación financiera y otros aspectos. Sistemas comunes en Chile:
- Score de crédito (Equifax, modelos propietarios de bancos e ISAPREs)
- Perfil conductual en plataformas de e-commerce
- Perfil de riesgo en sistemas de seguro
- Perfil de candidato en triaje de reclutamiento por IA
- Perfil de riesgo en sistemas antifraude
El perfilamiento por sí solo no activa necesariamente los derechos sobre decisiones automatizadas. El gatillo es la decisión basada en el perfil que afecta al titular. Crear un perfil conductual para personalizar el orden de productos mostrados puede no activar los derechos; usar ese perfil para negar acceso a un servicio, calcular un precio diferenciado sustancial o tomar otra decisión con impacto real probablemente sí los activa.
Lo que las organizaciones deben implementar
1. Inventario de decisiones automatizadas
El responsable necesita saber qué decisiones automatizadas toma y cuáles afectan a los titulares. Ese inventario debe incluir:
- Sistema responsable de la decisión
- Datos utilizados como entrada
- Tipo de resultado (aprobación/rechazo, score, ranking, clasificación)
- Volumen de decisiones por período
- Impacto potencial sobre el titular
- Existencia de mecanismo de revisión humana
2. Proceso de revisión humana accesible
Debe existir un canal claro para que el titular solicite la revisión. Requisitos mínimos:
- Canales de contacto disponibles (portal del titular, correo del DPD, teléfono)
- Proceso interno definido: quién recibe, quién analiza, quién decide
- Registro de todas las solicitudes y resultados
3. Aviso de privacidad actualizado
El aviso de privacidad debe informar a los titulares sobre:
- La existencia de decisiones automatizadas que les afectan
- Las finalidades de esas decisiones
- La lógica involucrada (al menos en términos generales)
- El derecho a solicitar revisión y cómo ejercerlo
4. Documentación técnica del sistema
Para poder responder al titular, el responsable necesita tener documentada la lógica de funcionamiento del sistema:
- Qué variables se utilizan
- El peso relativo o relevancia de cada variable
- Los criterios de decisión (umbrales, límites)
- Cómo fue desarrollado y validado el modelo
- Métricas de desempeño del modelo
5. Evaluación y monitoreo de sesgos
Los modelos que reproducen sesgos históricos en los datos de entrenamiento pueden generar decisiones discriminatorias — violando el principio de no discriminación. Las organizaciones deben implementar:
- Análisis de sesgos por grupos protegidos durante el desarrollo
- Monitoreo continuo de sesgos post-implementación
- Proceso para corregir los sesgos identificados
Decisiones automatizadas de alto impacto: los casos de mayor riesgo jurídico
| Decisión automatizada | Por qué es de alto riesgo |
|---|---|
| Concesión o negación de crédito | Impacto financiero directo e inmediato sobre el titular |
| Selección o eliminación de candidatos en reclutamiento | Impacto profesional relevante; sesgo de género/raza frecuente |
| Cálculo de prima de seguro por perfil conductual | Discriminación por datos inferidos |
| Precios diferenciados por perfil | Posible violación del principio de no discriminación |
| Bloqueo automatizado de cuentas | Impacto financiero y reputacional inmediato |
| Marcación automática de conductas sospechosas | Consecuencias disciplinarias sin revisión humana |
El contexto de la IA en Chile
Chile no cuenta aún (abril 2026) con una ley específica sobre inteligencia artificial. Sin embargo, el marco regulatorio sobre decisiones automatizadas que establece la Ley 21.719 es coherente con el estándar internacional (RGPD europeo), y la Política Nacional de Inteligencia Artificial de Chile (2021) anticipa principios de transparencia y responsabilidad algorítmica que complementan las obligaciones de la Ley 21.719.
La APDP — cuando entre en operaciones — tendrá competencia para fiscalizar el uso de sistemas de decisión automatizada que traten datos personales, incluyendo el poder de auditar los criterios y procedimientos cuando sean invocadas excepciones de secreto comercial.
Las organizaciones que implementen ahora los mecanismos básicos de revisión y explicabilidad estarán en una mejor posición cuando la fiscalización se intensifique y cuando Chile avance hacia una regulación específica de IA.
Conclusión
La Ley 21.719 crea un derecho real y exigible: cuestionar una decisión que un algoritmo tomó sobre uno. Para las organizaciones, ese derecho crea obligaciones concretas — inventariar las decisiones automatizadas, implementar procesos de revisión humana, garantizar la explicabilidad e informar a los titulares.
El desafío no es solo técnico — es organizacional. Requiere que la misma organización que automatizó decisiones para ganar escala y velocidad cree mecanismos para que esas decisiones puedan ser cuestionadas y revisadas individualmente. Las organizaciones que actúen antes de la entrada en vigencia de la Ley 21.719 en diciembre de 2026 estarán mejor preparadas.
Confidata registra en el inventario de actividades de tratamiento todas las operaciones de decisión automatizada, con identificación de los sistemas responsables y documentación de los criterios utilizados — facilitando tanto la respuesta a titulares como la demostración de cumplimiento con la Ley 21.719.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.