La entrada en vigencia de la Ley N° 21.719 crea una autoridad —la Agencia de Protección de Datos Personales— que recibe simultáneamente dos mandatos: hacer cumplir un régimen de protección de datos sustancialmente más estricto que el actual y, al mismo tiempo, fiscalizar tratamientos algorítmicos cuya complejidad técnica desafía a sus pares europeas con más años de experiencia.
El problema central: datos como combustible algorítmico
Los modelos de inteligencia artificial son, en términos materiales, productos de datos. Entrenar un sistema implica procesar millones de registros que muchas veces contienen información personal. Los desafíos jurídicos son tres y se entrelazan:
- Base de licitud del tratamiento. ¿Puede un desarrollador invocar interés legítimo para entrenar un modelo con datos extraídos de la web, sin consentimiento expreso? La respuesta no es la misma para un foro público que para un repositorio médico.
- Derecho de información y transparencia. El artículo de la Ley que reconoce el derecho a no ser objeto de decisiones automatizadas significativas obliga a explicar lógica y consecuencias del sistema. Para muchos modelos generativos, esa explicación todavía no existe en términos técnicamente verificables.
- Eliminación y rectificación. ¿Cómo se ejerce el derecho de supresión sobre un parámetro distribuido en una red neuronal? La respuesta práctica es entrenamiento desde cero, lo que en términos económicos es prácticamente imposible.
Lo que la Agencia tendrá que decidir pronto
Más allá de la potestad sancionatoria, la Agencia enfrenta decisiones interpretativas urgentes: qué se entiende por fines compatibles en el reentrenamiento de modelos, cuándo procede una evaluación de impacto, cómo se articula la portabilidad de datos con servicios algorítmicos, y bajo qué condiciones puede operar la inferencia automatizada en sectores sensibles.
Si la Agencia opta por instructivos generales y casos paradigmáticos, las empresas ganarán predictibilidad. Si opta por fiscalización caso a caso sin guías previas, el mercado quedará paralizado por incertidumbre regulatoria.
La articulación con el proyecto de IA
El Boletín 15869-19 —en segundo trámite constitucional— propone una autoridad supervisora específica de IA. Sin coordinación con la Agencia, Chile podría replicar el peor escenario europeo: dos autoridades pidiendo lo mismo en lenguajes distintos. La pregunta no es si necesitamos ambas autoridades, sino cómo se reparten competencias para que la fiscalización sea efectiva y no agotadora.
Para los DPOs y compliance officers
El mensaje práctico es simple: mapeen sus tratamientos algorítmicos ahora. Identifiquen qué datos personales se usan para entrenar, ajustar o evaluar modelos; documenten la base de licitud; preparen mecanismos para responder solicitudes de acceso y eliminación; y diseñen evaluaciones de impacto incluso antes de que la Agencia las exija formalmente. La regulación llegará; la pregunta es si los encontrará preparados.
Este contenido es de carácter educativo y no constituye asesoría jurídica.