IA y Ley 21.719: cómo usar inteligencia artificial sin violar la privacidad
Inteligencia artificial y datos personales son prácticamente inseparables. Los sistemas de IA aprenden con datos — y esos datos frecuentemente incluyen información personal. Cuando una organización usa IA para recomendar productos, evaluar crédito, filtrar currículos, detectar fraudes o automatizar la atención al cliente, está tratando datos personales. Y donde hay tratamiento de datos personales, la Ley 21.719 se aplica.
El punto crítico que muchas organizaciones aún no han asimilado es este: la tecnología usada no cambia la obligación. Un sistema de IA que procesa datos personales está sujeto a la Ley 21.719 de la misma forma que cualquier otro sistema. No hay excepción para la IA.
Cómo la Ley 21.719 se aplica a los sistemas de IA
La Ley 21.719 define el tratamiento de datos personales de forma amplia, comprendiendo toda operación o conjunto de operaciones que se realiza sobre datos personales — como la recolección, registro, organización, almacenamiento, conservación, modificación, extracción, consulta, utilización, comunicación, difusión, interconexión, limitación, supresión o destrucción.
Los sistemas de IA realizan todas estas operaciones — especialmente procesamiento y evaluación de la información. No hay duda de que están dentro del ámbito de aplicación de la ley.
Los tres momentos en que la IA trata datos personales
1. Entrenamiento del modelo
Para entrenar un modelo de machine learning, se necesita un conjunto de datos. Si ese dataset contiene datos personales — nombres, comportamientos, historial de compras, fichas clínicas, transacciones financieras —, el entrenamiento es una actividad de tratamiento sujeta a la Ley 21.719.
Esto incluye modelos entrenados internamente y el uso de datos personales para hacer fine-tuning de modelos de lenguaje extensos (LLMs).
Atención crítica: los datos usados para entrenamiento necesitan una base de licitud. Si los datos fueron recopilados con consentimiento "para envío de newsletter", ese consentimiento no cubre el uso para entrenamiento de modelos de IA.
2. Inferencia (uso del modelo)
Cuando el modelo ya entrenado procesa un dato nuevo para generar una predicción, clasificación o decisión, realiza una inferencia. Esta también es una actividad de tratamiento de datos personales — si el dato de entrada es personal, la inferencia está sujeta a la Ley 21.719.
Ejemplos: usar IA para analizar el currículum de un candidato, para calcular el riesgo crediticio de un cliente, para recomendar contenido basado en el comportamiento del usuario.
3. Resultado y decisión
El output del sistema de IA — la predicción, recomendación o decisión — frecuentemente se refiere a una persona específica. Cuando ese output se usa para tomar decisiones que afectan al titular, las disposiciones sobre decisiones automatizadas de la Ley 21.719 entran en juego.
El derecho a oponerse a decisiones automatizadas
La Ley 21.719 consagra el derecho del titular a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales — incluyendo la elaboración de perfiles — cuando dicha decisión produzca efectos jurídicos en él o le afecte significativamente.
Cuándo aplica esta protección
La protección aplica a decisiones que cumplen dos requisitos:
1. Basadas únicamente en tratamiento automatizado: la decisión fue generada por un algoritmo sin revisión humana sustantiva. Si un humano revisó la recomendación del sistema antes de decidir, la protección puede no aplicarse — pero una "revisión pro forma" sin evaluación independiente real probablemente no es suficiente.
2. Que produzcan efectos jurídicos o afecten significativamente al titular: decisiones sobre crédito, empleo, seguros, acceso a servicios, precios diferenciados, perfil de riesgo.
Qué puede exigir el titular
El titular puede solicitar al responsable del tratamiento:
- Revisión de la decisión (nuevo análisis por una persona competente)
- Información sobre los criterios y procedimientos usados por el algoritmo
- Intervención humana en el proceso decisional
Decisiones automatizadas de alto impacto: dónde el riesgo es mayor
| Decisión automatizada | Riesgo |
|---|---|
| Concesión o negación de crédito | Impacto directo e inmediato sobre el titular |
| Selección o eliminación de candidatos en procesos de selección | Impacto profesional relevante |
| Cálculo de prima de seguro por perfil conductual | Discriminación por datos inferidos |
| Recomendación de precios diferenciados por perfil | Posible violación del principio de no discriminación |
| Alertas automatizadas de conductas sospechosas | Impacto reputacional y consecuencias disciplinarias |
| Cálculo de riesgo de morosidad sin revisión humana | Perfilamiento en base a datos de terceros |
Perfilamiento en la Ley 21.719
La Ley 21.719 define el perfilamiento como toda forma de tratamiento automatizado de datos personales que consista en utilizar esos datos para evaluar, analizar o predecir aspectos relativos al rendimiento profesional, situación económica, de salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de una persona natural.
Esto significa que datos que, en forma aislada, podrían considerarse sin sensibilidad relevante — patrones de navegación, preferencias, comportamiento en plataformas — se convierten en datos personales cuando se usan para crear un perfil vinculado a un individuo identificado o identificable.
Los sistemas de IA de recomendación, los sistemas de análisis de comportamiento del consumidor y las plataformas de marketing digital que crean perfiles individuales están, por tanto, tratando datos personales y están plenamente sujetos a la Ley 21.719.
IA generativa en el entorno corporativo: riesgos específicos
La adopción de herramientas de IA generativa (asistentes de escritura, chatbots, generadores de código, herramientas de análisis de documentos) en entornos corporativos introduce riesgos de privacidad que muchas organizaciones subestiman.
Riesgo 1: Ingreso de datos personales en prompts
Colaboradores que usan herramientas de IA generativa — como ChatGPT, Gemini, Copilot — pueden ingresar datos personales en los prompts sin percatarse: "Analiza este correo del cliente Juan Pérez, RUT 12.345.678-9...". Esos datos se envían al proveedor de la herramienta, se procesan fuera del entorno controlado de la organización y, dependiendo de los términos de servicio, pueden usarse para entrenar modelos.
Medida: política clara sobre qué puede y qué no puede ingresarse en herramientas de IA generativa; capacitación del equipo; uso de versiones corporativas con términos de privacidad adecuados y contrato de encargo formalizado.
Riesgo 2: Ausencia de contrato de encargo con el proveedor de IA
Si el proveedor de IA actúa como encargado del tratamiento (procesa datos en nombre de la organización), es necesario un contrato de encargo conforme a la Ley 21.719. La ausencia del contrato deja al responsable expuesto a responsabilidad solidaria por cualquier incidente con los datos transmitidos.
Riesgo 3: Alucinaciones con datos personales
Los sistemas de IA generativa pueden "alucinar" — generar información falsa pero plausible sobre personas reales. Si un sistema interno usa IA generativa para responder preguntas sobre clientes o colaboradores, y genera información incorrecta sobre una persona real, esto puede configurar una violación del principio de exactitud de los datos bajo la Ley 21.719 y generar responsabilidad civil.
Riesgo 4: Sesgo algorítmico y no discriminación
La Ley 21.719 consagra el principio de no discriminación. Los sistemas de IA que reproducen sesgos históricos en los datos de entrenamiento pueden generar decisiones discriminatorias — por ejemplo, un modelo de selección de candidatos que aprende patrones de contratación históricos sesgados por género u origen étnico.
El proyecto de ley de IA en Chile
Chile está avanzando en la regulación específica de la inteligencia artificial. El Proyecto de Ley que regula integralmente la IA (Boletín 16821-19) fue aprobado por la Cámara de Diputados el 13 de octubre de 2025 y se encuentra en tramitación en el Senado, siendo revisado por la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación.
Las claves del Proyecto
- Clasificación de riesgo para sistemas de IA: inaceptable (prohibidos), alto riesgo, riesgo limitado y sin riesgo evidente.
- Principios centrales: transparencia, explicabilidad, supervisión humana, equidad y protección de datos.
- Prohibiciones absolutas: identificación biométrica remota en tiempo real en espacios públicos, calificación social (social scoring), categorización discriminatoria y manipulación subliminal.
- Consejo Asesor Técnico de IA bajo el Ministerio de Ciencia, con funciones de clasificación y actualización de la lista de sistemas de alto riesgo.
La relación con la Ley 21.719
Cuando el Proyecto de Ley de IA sea aprobado, operará en complemento a la Ley 21.719, no en sustitución. Las obligaciones de protección de datos personales de la Ley 21.719 continuarán vigentes para cualquier sistema de IA que procese datos personales. Los sistemas de IA clasificados como "alto riesgo" quedarán sujetos a las exigencias más rigurosas de ambas regulaciones.
Checklist: usando IA de forma conforme a la Ley 21.719
Antes de implementar un sistema de IA
- Mapee los datos personales usados en el entrenamiento: ¿tienen base de licitud para ese uso específico?
- ¿El sistema tomará decisiones automatizadas que afecten a titulares? Si es así, mapee el mecanismo de revisión humana.
- Elabore la EIPD si el sistema procesa datos a gran escala o datos sensibles.
- Si el proveedor de IA es un encargado del tratamiento, formalice el contrato de encargo.
- Actualice el registro de tratamientos con la nueva actividad.
- Evalúe el riesgo de sesgo algorítmico, especialmente si el sistema toma decisiones de empleo, crédito o acceso a servicios.
Al usar herramientas de IA generativa
- ¿Existe una política interna sobre qué puede ingresarse en los prompts?
- ¿Los colaboradores fueron capacitados sobre no ingresar datos personales en herramientas no aprobadas?
- ¿La versión corporativa de la herramienta tiene contrato de encargo adecuado?
- ¿Los términos de servicio del proveedor son compatibles con la Ley 21.719 (los datos no se usan para entrenamiento sin consentimiento explícito)?
Para decisiones automatizadas existentes
- ¿El titular puede solicitar revisión humana de la decisión?
- ¿La organización puede explicar los criterios y procedimientos de la decisión automatizada al titular?
- ¿El aviso de privacidad informa sobre la existencia de decisiones automatizadas y el derecho de oposición?
Lo que el titular puede exigir a su organización
Cuando una decisión automatizada afecta a un titular — negación de crédito por scoring, no selección en un proceso por triaje de IA, bloqueo de cuenta por sistema antifraude —, el titular tiene derecho a:
- Oponerse a que la decisión esté basada únicamente en tratamiento automatizado
- Solicitar revisión humana de la decisión tomada por el algoritmo
- Obtener información sobre los criterios utilizados por el sistema para llegar a esa decisión
- Acceder a los datos que alimentaron el sistema en ese caso específico (derecho de acceso)
La organización debe tener procesos definidos para responder a estas solicitudes dentro de los plazos legales.
Conclusión
La Ley 21.719 ya regula la IA. Lo que está cambiando es la intensidad del uso de IA, la capacidad de fiscalización de la APDP y la expectativa regulatoria sobre transparencia y explicabilidad. A esto se suma el avance del Proyecto de Ley de IA en el Senado.
Las organizaciones que usan IA de forma responsable — con base de licitud clara para los datos de entrenamiento, mecanismos de revisión de decisiones automatizadas, evaluación de sesgo y contratos de encargo con proveedores — están bien posicionadas para los próximos años.
La IA no es una zona libre de regulación. Es un entorno de tratamiento de datos personales como cualquier otro — con las mismas obligaciones, la misma accountability y los mismos riesgos.
Confidata ayuda a su organización a mapear y documentar el uso de IA en las actividades de tratamiento de datos personales, incluyendo el registro de decisiones automatizadas y la gestión de los derechos de los titulares relacionados con el tratamiento automatizado.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.