← Volver al blog IA y datos

Cómo la Ley 21.719 aplica a los sistemas de inteligencia artificial que tratan datos personales

La inteligencia artificial no opera en un vacío legal. Cuando un modelo se entrena, perfila personas, calcula un puntaje o atiende clientes con datos personales, está realizando un tratamiento de datos y queda sujeto a la Ley 21.719. La pregunta no es si la ley aplica, sino cómo construir IA que cumpla con ella sin frenar la innovación. Aquí lo explicamos en términos prácticos para equipos de negocio y tecnología.

Publicado jun 2026 · Actualizado 22 jun 2026 · 9 min de lectura
IA y datos · Ley 21.719

Lo esencial en 30 segundos

  • La IA que usa datos personales es tratamiento de datos: necesita base de licitud, finalidad definida y minimización, igual que cualquier otro sistema.
  • Los derechos ARSOP (Acceso, Rectificación, Supresión, Oposición, Portabilidad) siguen vigentes y alcanzan al perfilamiento y a los puntajes que el modelo genera.
  • La transparencia hacia los titulares es clave: deben poder entender que se usa IA con sus datos y con qué finalidad.
  • Para usos de alto riesgo conviene una Evaluación de Impacto (EIPD) antes de poner el modelo en producción.
  • La fiscalización plena comienza el 1 de diciembre de 2026, a cargo de la Agencia de Protección de Datos Personales, con multas que pueden llegar hasta 20.000 UTM.

La adopción de inteligencia artificial avanza más rápido que la claridad sobre sus límites legales. Muchas empresas chilenas ya entrenan modelos, automatizan decisiones o segmentan clientes con IA, pero pocas se han detenido a revisar qué obligaciones de protección de datos arrastra esa tecnología bajo la Ley 21.719, publicada el 13 de diciembre de 2024 y con fiscalización plena desde el 1 de diciembre de 2026. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.

La buena noticia es que la ley no prohíbe usar IA con datos personales. Lo que exige es hacerlo con reglas claras: una base que legitime el tratamiento, una finalidad explícita, datos mínimos, transparencia con las personas y respeto a sus derechos. Construir IA con confianza es, en el fondo, una ventaja competitiva.

Usar IA con datos personales es un tratamiento de datos

La Ley 21.719 regula cualquier operación sobre datos personales: recolectarlos, almacenarlos, analizarlos, combinarlos o usarlos para tomar decisiones. La inteligencia artificial no es una excepción. Si un sistema de IA consume datos de personas identificadas o identificables, está tratando datos y queda dentro del alcance de la ley.

Esto cubre escenarios muy distintos entre sí. No importa que el procesamiento ocurra dentro de un modelo estadístico o de una red neuronal: desde el punto de vista legal, sigue siendo un tratamiento que necesita justificación, finalidad y resguardos. La ley, inspirada en el marco europeo del GDPR, parte de un principio de responsabilidad proactiva: la empresa debe poder demostrar que cumple, no solo afirmarlo.

Por eso el primer paso no es técnico, sino de gobernanza: mapear dónde la IA toca datos personales dentro de la organización y dejarlo documentado.

  • Entrenar modelos con datos de clientes, usuarios o empleados.
  • Perfilar o segmentar personas según su comportamiento o características.
  • Calcular puntajes (scoring) de riesgo, crédito, fraude o propensión de compra.
  • Atención automatizada mediante chatbots o asistentes que procesan consultas con datos personales.

Base de licitud, finalidad definida y minimización

Antes de alimentar un modelo con datos personales, la organización necesita una base de licitud que legitime ese uso. No basta con tener acceso a los datos: hay que poder explicar por qué su tratamiento es lícito, ya sea por el consentimiento de la persona, por una relación contractual, por una obligación legal u otra base aplicable.

A esa base se suma el principio de finalidad. Los datos se recogen para un propósito concreto y no deberían reutilizarse para entrenar un modelo con un fin distinto sin revisar si esa nueva finalidad es compatible o requiere una nueva base. Reaprovechar datos históricos para alimentar IA es uno de los puntos donde más empresas tropiezan.

La minimización completa el cuadro: el modelo debe usar solo los datos necesarios para su objetivo. Acumular variables 'por si acaso' aumenta el riesgo y debilita el cumplimiento. Menos datos, bien justificados, suele significar mejor IA y menos exposición.

Transparencia y derechos ARSOP sobre el perfilamiento

Las personas tienen derecho a entender, en términos comprensibles, qué se hace con sus datos. Cuando hay IA de por medio, la transparencia implica informar de forma clara que se utilizan sistemas automatizados, con qué finalidad y qué tipo de tratamiento realizan, evitando explicaciones opacas o puramente técnicas que nadie pueda interpretar.

Los derechos ARSOP que reconoce la Ley 21.719 (Acceso, Rectificación, Supresión o Cancelación, Oposición y Portabilidad) siguen plenamente vigentes cuando interviene la IA. El titular puede pedir acceso a los datos que el sistema usa, rectificar información incorrecta que influye en un perfil, oponerse a ciertos tratamientos o solicitar la supresión de sus datos.

Esto tiene una consecuencia operativa directa sobre el perfilamiento: si un modelo genera perfiles o puntajes a partir de datos personales, esos resultados también caen bajo el alcance de los derechos del titular. La empresa debe estar en condiciones de localizar, explicar y corregir lo que el sistema sabe sobre cada persona.

  • Informa de manera visible cuándo una decisión o atención se apoya en sistemas automatizados.
  • Mantén un canal claro y operativo para ejercer los derechos ARSOP.
  • Asegúrate de poder rastrear qué datos alimentan un perfil para poder rectificarlos o suprimirlos.
  • Documenta la finalidad del perfilamiento para responder con transparencia ante una consulta.

Evaluación de Impacto (EIPD) para usos de alto riesgo

No todos los usos de IA tienen el mismo nivel de riesgo. Un buscador interno que ordena resultados no es comparable con un modelo que decide quién accede a un crédito o que evalúa a candidatos en un proceso de selección. Para los tratamientos de alto riesgo, la Ley 21.719 contempla la Evaluación de Impacto en Protección de Datos (EIPD).

Una EIPD es un análisis previo que ayuda a identificar y mitigar los riesgos que un sistema puede generar para los derechos de las personas. Aplicada a la IA, permite anticipar problemas antes de que el modelo entre en producción, en lugar de descubrirlos cuando ya causó un daño o una reclamación.

Realizar una EIPD también refuerza la responsabilidad proactiva: deja evidencia de que la organización evaluó los riesgos y tomó medidas. Esa documentación es valiosa frente a la Agencia de Protección de Datos Personales y, sobre todo, frente a los propios clientes.

  • Perfilamiento o scoring que afecta decisiones relevantes sobre las personas.
  • Tratamiento masivo de datos o de datos sensibles mediante IA.
  • Sistemas que evalúan, clasifican o predicen el comportamiento de individuos.
  • Modelos cuyas salidas influyen en el acceso a un servicio, un empleo o un beneficio.

Datos sensibles y sesgos: los dos riesgos críticos

Los datos sensibles (como salud, origen, creencias o datos que revelan aspectos íntimos de una persona) merecen un cuidado reforzado cuando entran en un modelo de IA. Conviene preguntarse si el sistema realmente los necesita y, de ser así, rodearlos de garantías más estrictas. Muchas veces, datos aparentemente neutros pueden inferir información sensible, y esa inferencia también cuenta.

El segundo gran riesgo es el sesgo. Un modelo entrenado con datos desbalanceados puede reproducir o amplificar discriminaciones, perjudicando a determinados grupos en un puntaje, una recomendación o una decisión automatizada. El sesgo no es solo un problema técnico o reputacional: afecta directamente los derechos de las personas que la ley busca proteger.

Por eso, gestionar la calidad de los datos, revisar resultados por grupos y mantener supervisión humana sobre las salidas del modelo no son lujos, sino parte de un uso responsable y conforme de la IA.

Construir IA con confianza: gobernanza y figuras clave

Cumplir con la Ley 21.719 al usar IA no se resuelve con un solo ajuste, sino con gobernanza sostenida. El Registro de Actividades de Tratamiento (RAT) ayuda a tener visibilidad de qué hace cada sistema con qué datos; la figura del DPO aporta una mirada experta y permanente; y la relación entre responsable y encargado obliga a contractualizar las garantías cuando se usan proveedores o modelos de terceros.

A esto se suma el deber de notificar las brechas de seguridad. Si un incidente compromete los datos que alimentan o produce un sistema de IA, la organización debe estar preparada para detectarlo y reaccionar conforme a la ley. La preparación previa marca la diferencia entre una respuesta ordenada y una crisis.

El horizonte es concreto: la fiscalización plena empieza el 1 de diciembre de 2026 y las multas pueden llegar hasta 5.000, 10.000 o 20.000 UTM según la gravedad de la infracción. Pero más allá de la sanción, una IA gobernada con principios de protección de datos genera algo que ninguna multa puede comprar: la confianza de quienes entregan sus datos.

  • Registra en el RAT los tratamientos en los que interviene IA.
  • Designa o consulta a un DPO para supervisar el cumplimiento de forma continua.
  • Formaliza por contrato las garantías con encargados y proveedores de modelos.
  • Define un protocolo de detección y notificación de brechas que cubra tus sistemas de IA.

Lleva tu IA al cumplimiento de la Ley 21.719

En AlayIAtrust ayudamos a empresas chilenas a evaluar sus sistemas de inteligencia artificial, definir bases de licitud, realizar la EIPD cuando corresponde y construir gobernanza de datos antes del 1 de diciembre de 2026. Conversemos sobre tu caso y diseñemos una IA en la que tus clientes puedan confiar.

Solicitar diagnóstico

Preguntas frecuentes

¿La Ley 21.719 prohíbe usar inteligencia artificial con datos personales?

No. La ley no prohíbe la IA; la somete a las mismas reglas que cualquier otro tratamiento de datos. Puedes entrenar modelos, perfilar o automatizar atención siempre que tengas una base de licitud, una finalidad definida, uses los datos mínimos necesarios, seas transparente con las personas y respetes sus derechos ARSOP.

¿Los derechos ARSOP aplican al perfilamiento que hace un modelo de IA?

Sí. Los derechos de Acceso, Rectificación, Supresión, Oposición y Portabilidad siguen vigentes cuando interviene la IA. Si un sistema genera perfiles o puntajes a partir de datos personales, el titular puede acceder a esa información, corregir datos erróneos que influyen en su perfil, oponerse a ciertos tratamientos o pedir su supresión.

¿Cuándo necesito una EIPD para un proyecto de inteligencia artificial?

Conviene realizar una Evaluación de Impacto en Protección de Datos cuando el uso de IA es de alto riesgo para los derechos de las personas, por ejemplo en perfilamiento o scoring que afecta decisiones relevantes, tratamiento de datos sensibles o sistemas que evalúan o predicen el comportamiento de individuos. La EIPD ayuda a anticipar y mitigar riesgos antes de poner el modelo en producción.

¿Qué pasa con los datos sensibles y los sesgos en los modelos de IA?

Los datos sensibles exigen un cuidado reforzado: primero revisa si el modelo realmente los necesita y, de ser así, aplica garantías más estrictas. En paralelo, debes vigilar los sesgos, porque un modelo entrenado con datos desbalanceados puede discriminar a ciertos grupos y afectar sus derechos. Controlar la calidad de los datos, revisar resultados por grupos y mantener supervisión humana son medidas esenciales.

También te puede interesar

Ley 21.719

Ley 21.719: guía definitiva para cumplir y evitar multas

 Cumplimiento

EIPD: qué es y cuándo es obligatoria la Evaluación de Impacto

 Derechos

Cómo responder solicitudes de derechos ARSOP: proceso y plazos
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico