Inteligencia Artificial12 min de lectura

Inteligencia artificial y protección de datos en Chile: lo que su organización necesita saber

Equipo Confidata·
Compartir

La inteligencia artificial dejó de ser una discusión académica. Las organizaciones chilenas ya utilizan IA para scores de crédito, selección de personal, precios dinámicos, diagnóstico médico, recomendaciones algorítmicas y decenas de otros usos que afectan directamente a personas. Y la Ley 21.719 ya regula buena parte de eso — sin necesidad de esperar una ley específica de IA.

Esta guía consolida lo que la Ley 21.719 establece para el uso de IA con datos personales, qué se está desarrollando en el plano regulatorio global y qué debe implementar su organización ahora.

Lo que la Ley 21.719 ya regula respecto a la IA

La Ley 21.719 no es una ley de inteligencia artificial, pero regula dos aspectos que son centrales para cualquier sistema de IA que procese datos personales:

1. Decisiones automatizadas y perfilamiento

La ley establece el derecho del titular a no ser objeto de decisiones basadas únicamente en tratamiento automatizado — incluida la elaboración de perfiles — que produzcan efectos jurídicos o le afecten significativamente.

Este derecho implica:

  • Transparencia: El titular tiene derecho a saber que está sujeto a una decisión automatizada
  • Explicación: Derecho a recibir información sobre los criterios y el funcionamiento del sistema
  • Intervención humana: Derecho a que la decisión sea revisada por una persona con capacidad de modificarla
  • Impugnación: Derecho a contestar la decisión automatizada

¿Qué se entiende por "perfilamiento"? La ley define el perfilamiento como cualquier forma de tratamiento automatizado que consiste en usar datos para evaluar, analizar o predecir aspectos relativos a:

  • Desempeño profesional
  • Situación económica
  • Estado de salud
  • Preferencias personales
  • Comportamiento
  • Ubicación o movimientos

Ejemplos de decisiones automatizadas cubiertas:

  • Score de crédito calculado por algoritmo
  • Selección automatizada de currículos en procesos de reclutamiento
  • Precios dinámicos personalizados (precios distintos según perfil del cliente)
  • Decisiones de concesión o denegación de seguros
  • Sistemas de recomendación que afectan oportunidades (empleo, crédito, vivienda)
  • Diagnóstico o triaje médico automatizado

Para todas estas situaciones, el titular ya tiene derecho de pedir explicación y revisión — y la organización debe tener procesos internos para atender esa solicitud.

2. Evaluación de Impacto en la Protección de Datos (EIPD) para sistemas de IA

El artículo 15 ter de la Ley 21.719 exige la elaboración de una EIPD cuando el tratamiento pueda generar un alto riesgo para los derechos y libertades de los titulares. Los sistemas de IA que realicen:

  • Evaluación sistemática y exhaustiva de personas basada en tratamiento automatizado o perfilamiento
  • Tratamiento a gran escala de datos sensibles
  • Monitoreo sistemático de personas en espacios de acceso público

...están entre los primeros candidatos a requerir una EIPD obligatoria.

Si la EIPD identifica riesgos altos que no pueden mitigarse adecuadamente, el responsable debe consultar previamente a la APDP antes de implementar el sistema.

3. Bases legales para el entrenamiento de modelos de IA

Si su organización entrena modelos de IA con datos personales, debe documentar la base legal:

  • Consentimiento explícito (para datos sensibles)
  • Interés legítimo (con limitaciones y documentación del test de equilibrio)
  • Obligación legal o contrato (en casos específicos)

Entrenar modelos con datos personales obtenidos de fuentes públicas sin verificar la legalidad de la recolección original es un riesgo regulatorio significativo.

El Reglamento General de Protección de Datos de la UE (RGPD) como referencia

La Ley 21.719 está inspirada en el RGPD europeo, lo que significa que la jurisprudencia y las directrices de las autoridades europeas sobre IA y protección de datos son fuentes relevantes para entender el alcance de las obligaciones chilenas.

El RGPD (específicamente el Artículo 22) tiene una estructura similar a la Ley 21.719 en materia de decisiones automatizadas: prohíbe las decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente al titular, salvo excepciones específicas.

El Comité Europeo de Protección de Datos (EDPB) ha emitido directrices detalladas sobre:

  • Qué constituye una "decisión automatizada" versus una asistida por humanos
  • Cuándo el tratamiento "afecta significativamente" al titular
  • Qué significa supervisión humana "efectiva" (no basta con que un humano "rubber-stamp" la decisión algorítmica)

Estas directrices son un recurso valioso para los DPDs chilenos mientras la APDP desarrolla su propia doctrina.

El AI Act de la Unión Europea: la referencia global

El Reglamento de IA de la UE (Reglamento UE 2024/1689, conocido como "AI Act") entró en vigor en agosto de 2024 con aplicación gradual. Es la primera regulación integral de IA en el mundo y establece un estándar que otras jurisdicciones — incluyendo Chile — están observando.

Clasificación de sistemas de IA basada en riesgo

El AI Act adopta una clasificación de cuatro niveles:

Riesgo inaceptable (prohibido):

  • Sistemas de puntuación social por gobiernos
  • Manipulación subliminal del comportamiento
  • Explotación de vulnerabilidades específicas de grupos

Alto riesgo:

  • IA en infraestructura crítica
  • Educación y formación profesional
  • Empleo y gestión de trabajadores
  • Servicios esenciales (crédito, seguros)
  • Aplicación de la ley
  • Gestión de migración y asilo
  • Justicia

Riesgo limitado:

  • Chatbots (obligación de transparencia)
  • Deepfakes (obligación de declaración)

Riesgo mínimo: La mayor parte de los sistemas de IA.

Relevancia para Chile: Aunque el AI Act no aplica directamente a las organizaciones chilenas que no operan en la UE, marca el estándar internacional. Las empresas multinacionales que operan en Chile y en la UE ya están ajustando sus prácticas globales al AI Act, lo que beneficiará también su cumplimiento bajo la Ley 21.719.

El panorama regulatorio de IA en Chile

Chile no cuenta aún con una ley específica de inteligencia artificial. Sin embargo, el debate regulatorio está avanzando:

  • El Ministerio de Ciencia, Tecnología, Conocimiento e Innovación ha liderado discusiones sobre una política nacional de IA
  • La Política Nacional de Inteligencia Artificial (actualizada mediante Decreto N° 12, publicado en enero de 2025, con vigencia hasta 2031) establece principios de gobernanza de IA, incluyendo transparencia, no discriminación y supervisión humana
  • La APDP, una vez operativa, tendrá un rol natural en la fiscalización de sistemas de IA que involucren datos personales
  • Chile es signatario de la Declaración de Bletchley Park (noviembre 2023) sobre seguridad en IA

El vacío regulatorio específico de IA no significa ausencia de obligaciones: la Ley 21.719 ya cubre las intersecciones más relevantes entre IA y privacidad.

8 acciones que su organización debe implementar ahora

Independientemente de la evolución del marco regulatorio específico de IA, la Ley 21.719 ya impone obligaciones a quienes usan IA con datos personales.

1. Inventaríe todos los sistemas de IA que traten datos personales. Desde el chatbot del servicio al cliente hasta el modelo de scoring — inventaríe todo lo que usa datos de personas.

2. Clasifique el riesgo de cada sistema. ¿El sistema toma decisiones sobre personas? ¿Usa datos sensibles? ¿Afecta derechos fundamentales? Use el AI Act europeo como referencia.

3. Elabore EIPD para sistemas de alto riesgo. Los sistemas de IA con datos personales que realicen perfilamiento o decisiones automatizadas están entre los primeros candidatos a requerir EIPD.

4. Implemente el derecho de revisión. Tenga un proceso claro para que los titulares puedan solicitar revisión de decisiones automatizadas — y para que su equipo pueda proporcionar explicaciones sobre los criterios utilizados.

5. Documente las bases legales para el entrenamiento de modelos. Si entrena modelos con datos personales, documente la base legal y verifique que los datos fueron obtenidos lícitamente.

6. Evalúe sesgos algorítmicos. Pruebe sus modelos para discriminación por etnia, género, edad y otros criterios protegidos. La APDP podrá auditar específicamente para esto.

7. Establezca gobernanza de IA. Defina responsabilidades, procesos de aprobación para nuevos sistemas de IA y mecanismos de supervisión humana para sistemas que afecten a personas.

8. Monitoree el desarrollo regulatorio. Siga los actos normativos que emita la APDP a partir del 1 de diciembre de 2026 y las directrices del EDPB europeo como referencia internacional.

El DPD como actor clave en la gobernanza de IA

El Delegado de Protección de Datos tiene un rol natural en la supervisión de los sistemas de IA de la organización:

  • Participar en el diseño de sistemas de IA desde las fases iniciales (privacidad desde el diseño)
  • Revisar y aprobar las EIPDs de los sistemas de IA
  • Atender solicitudes de titulares sobre decisiones automatizadas
  • Colaborar con la APDP cuando se consulte sobre sistemas de alto riesgo
  • Mantenerse actualizado sobre el marco regulatorio de IA

Conclusión

Chile no tiene todavía una ley específica de IA, pero la Ley 21.719 ya regula los aspectos más críticos: decisiones automatizadas, perfilamiento y evaluación de impacto. Las organizaciones que usan IA con datos personales ya tienen obligaciones legales — no en el futuro, sino hoy.

La postura más inteligente es tratar la adecuación de los sistemas de IA como una extensión natural del programa de gobernanza en protección de datos — no como un proyecto separado a iniciarse en el futuro, cuando la regulación específica de IA llegue.

Confidata ofrece funcionalidades específicas para gobernanza de IA y protección de datos: inventario de actividades de tratamiento con clasificación de sistemas automatizados, EIPD con campos de evaluación de impacto algorítmico y gestión de solicitudes de titulares — incluyendo solicitudes de revisión de decisiones automatizadas.

Compartir
#inteligencia artificial Chile#regulación IA#Ley 21719#decisiones automatizadas#perfilamiento#EIPD#protección de datos IA

Artículos relacionados

IA y Ley 21.719: cómo usar inteligencia artificial sin violar la privacidadInteligencia Artificial · 13 minDecisiones automatizadas y Ley 21.719: derechos del titular y obligaciones de la organizaciónInteligencia Artificial · 12 minCómo elaborar la EIPD para sistemas de inteligencia artificialInteligencia Artificial · 14 minLey 21.719 y ChatGPT en las Empresas — Riesgos, Controles y Política de UsoInteligencia Artificial · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista