Cláusulas Contractuales Modelo Chile: transfiere datos a tu proveedor de IA sin violar la ley
La Resolución RAEX202503748 de diciembre de 2025 aprobó las Cláusulas Contractuales Modelo para Chile. Toda empresa que use APIs de OpenAI, Anthropic o Google con datos personales necesita firmarlas antes del 1 de diciembre de 2026. Aquí qué son, cómo funcionan y qué debes actualizar en tus contratos.
Cognitiva, agencia chilena de IA, lo tiene claro: cuando tu empresa envía datos de clientes o empleados a OpenAI, Anthropic o Google Vertex para usar sus modelos, realiza una transferencia internacional de datos personales. La Ley 21.719, vigente desde el 1 de diciembre de 2026, exige una garantía documentada para cada uno de esos flujos. Esa garantía se llama Cláusula Contractual Modelo (CCM). El 11 de diciembre de 2025, la Subsecretaría de Economía aprobó las CCM oficiales para Chile —Resolución RAEX202503748—, elaboradas con base en los estándares de la Red Iberoamericana de Protección de Datos (RIPD). El texto se publicó en el Diario Oficial el 19 de diciembre. El problema concreto: pocas pymes chilenas han actualizado sus contratos con proveedores de IA. Sin CCM firmadas, cada llamada a la API de OpenAI o cada documento procesado en Gemini es una transferencia sin garantía, sujeta a multas de hasta 20.000 UTM en la categoría de infracción gravísima bajo la Ley 21.719. Este artículo no constituye asesoría legal. Consulta a un abogado especializado para adaptar las CCM a tu situación concreta.
Por qué usar IA en la nube transfiere datos al extranjero
Cuando tu equipo de ventas conecta el CRM a la API de OpenAI para generar resúmenes de llamadas, los datos que se envían —nombres, correos, historial de conversaciones— viajan a servidores ubicados en Estados Unidos. Para la Ley 21.719, eso es una transferencia internacional de datos personales, no una simple consulta a un servicio externo. La distinción importa: la ley trata esta operación de forma equivalente a exportar datos, y exige que el país de destino ofrezca un nivel de protección jurídica equivalente al chileno o que el contrato lo garantice.
El problema de fondo es que Estados Unidos no cuenta con una decisión de adecuación formal con Chile, ni existe aún un mecanismo de certificación sectorial reconocido por la ley chilena. Eso deja a las Cláusulas Contractuales Modelo como la única ruta sistemática y disponible hoy para legitimar esas transferencias. El artículo 27 de la Ley 19.628, reformado por la Ley 21.719, reconoce las CCM como mecanismo de garantía adecuada, lo que equivale a decir que el contrato con el proveedor suple la ausencia de protección legal en el país de destino.
Qué aprobó Chile en diciembre de 2025: la Resolución RAEX202503748
El 11 de diciembre de 2025, la Subsecretaría de Economía y Empresas de Menor Tamaño aprobó mediante la Resolución RAEX202503748 las Cláusulas Contractuales Modelo para transferencias internacionales de datos personales. El texto fue publicado en el Diario Oficial el 19 de diciembre de 2025. Se trata de contratos preaprobados por la autoridad que las empresas pueden adoptar para cubrir sus transferencias sin necesidad de someter cada flujo a un análisis de adecuación del país de destino.
Las CCM chilenas se basan en los modelos desarrollados por la Red Iberoamericana de Protección de Datos (RIPD), lo que alinea el marco contractual chileno con el de Argentina, Perú y Uruguay. Su estructura contempla las obligaciones del exportador —tu empresa en Chile— y del importador —el proveedor de IA en el extranjero—: finalidad del tratamiento, categorías de datos, medidas de seguridad, plazos de retención, derechos de los titulares y condiciones de terminación. El elemento diferenciador respecto a un contrato de servicios estándar es que las CCM otorgan al titular de los datos un derecho directamente ejecutable contra el importador extranjero, sin necesidad de pasar por tu empresa como intermediario.
Las tres rutas legales y por qué hoy solo las CCM funcionan
La Ley 21.719 establece tres mecanismos para que una empresa transfiera datos personales al extranjero sin incurrir en infracción. Entender cuándo aplica cada uno es fundamental para decidir qué documento debes tener firmado con cada proveedor de IA.
| Mecanismo | Cuándo aplica | Situación Chile 2026 |
|---|---|---|
| Decisión de adecuación | El país de destino tiene reconocimiento formal de protección equivalente | EE.UU. y la mayoría de los países sin acuerdo vigente con Chile |
| Mecanismo de certificación | Certificación sectorial reconocida por la autoridad chilena | No disponible al 1 de diciembre de 2026 |
| Cláusulas Contractuales Modelo (CCM) | Cualquier transferencia sin adecuación ni certificación disponible | Disponible desde dic. 2025 — Resolución RAEX202503748 |
| Excepción individual | Transferencia específica, no habitual, con consentimiento o necesidad contractual | Solo para casos puntuales; no aplica a uso sistemático de APIs de IA |
En la práctica, esto significa revisar los contratos de servicio de OpenAI, Anthropic, Google Cloud y cualquier proveedor SaaS que procese datos personales de tus clientes o empleados. La mayoría de esos servicios ofrecen alguna forma de Acuerdo de Tratamiento de Datos, pero la equivalencia con las CCM de la Ley 21.719 debe evaluarse caso a caso.
Checklist de Cognitiva para actualizar tus contratos con proveedores de IA
Paso 1. Identifica qué proveedores reciben datos personales
El primer paso es trazar un mapa de flujos. Lista cada herramienta de IA que tu empresa usa —desde el asistente de redacción hasta el clasificador de soporte— y anota si envía datos reales de personas (clientes, candidatos, empleados) o solo datos de muestra y textos genéricos. Los proveedores que reciben datos reales son los que necesitan CCM firmadas antes del 1 de diciembre de 2026.
Paso 2. Revisa si el proveedor ya tiene DPA equivalente a las CCM
OpenAI, Anthropic y Google Cloud ofrecen sus propios Acuerdos de Tratamiento de Datos. El punto crítico es verificar si esas cláusulas satisfacen los requisitos de la Ley 21.719: algunas son equivalentes a las CCM chilenas; otras necesitan un addendum. La APDP aún no ha publicado una lista de equivalencias reconocidas, por lo que la validación debe hacerla un abogado especializado en protección de datos.
Paso 3. Completa las CCM oficiales para los proveedores sin equivalente
Para los proveedores que no ofrecen un DPA equivalente, descarga las CCM desde el sitio del Ministerio de Economía (Resolución RAEX202503748), completa el Anexo I con los datos de tu empresa y del proveedor, el Anexo II con las medidas de seguridad técnica, y gestiona la firma. Si el proveedor extranjero no accede a firmar, evalúa si el uso de sus servicios con datos personales es compatible con la Ley 21.719.
Paso 4. Documenta y revisa periódicamente
La ley exige no solo tener el contrato, sino poder demostrar que lo firmaste y que el proveedor cumple. Revisa las condiciones ante cambios relevantes: si el proveedor migra a nuevos centros de datos, incorpora sub-procesadores o modifica su política de retención de datos. Registra cada contrato en tu registro de actividades de tratamiento junto con la fecha de firma y la versión del anexo de seguridad.
Sanciones por transferencia internacional sin garantía
Las transferencias internacionales de datos personales sin garantía adecuada son infracciones sancionables por la Agencia de Protección de Datos Personales (APDP). La Ley 21.719 clasifica las sanciones en tres niveles según la gravedad, y una transferencia sistemática sin CCM —por ejemplo, enviar datos de clientes a la API de OpenAI sin contrato que lo respalde— puede calificarse como infracción grave o gravísima.
La APDP se instala con la entrada en vigencia de la ley: sus consejeros se designan formalmente hacia octubre y noviembre de 2026, pero el Consejo Directivo entra en funciones el 1 de diciembre de 2026, fecha en que también se activa su potestad sancionatoria plena, el mismo día en que la ley entra en vigencia y las CCM se vuelven obligatorias. Eso significa que habrá una autoridad con capacidad de fiscalizar y sancionar desde el primer momento en que las CCM son exigibles. La Ley 21.719 también considera la reincidencia como agravante, lo que puede incrementar las multas por encima del máximo ordinario. A diferencia de la normativa anterior, la nueva ley otorga a la APDP facultades de fiscalización y sanción autónomas, sin necesidad de denuncia previa.
Cómo Cognitiva integra el cumplimiento en tus proyectos de IA
Cuando Cognitiva integra APIs de IA en los procesos de una empresa —ya sea un agente de ventas conectado al CRM, un clasificador de soporte o un flujo de automatización con datos de empleados—, el punto de partida es siempre el mapa de flujos: qué datos salen, hacia dónde y con qué contrato. Eso nos permite identificar qué proveedores necesitan CCM y acompañar al cliente en la gestión de esos contratos antes de la puesta en marcha.
Con más de 19 empresas implementadas en Chile, hemos encontrado un patrón consistente: las empresas saben que usan OpenAI o Gemini, pero no saben si los DPA que aceptaron al registrarse en la plataforma son equivalentes a las CCM de la Ley 21.719. La diferencia entre cumplir e incumplir está en ese detalle contractual, no en la tecnología.
El cumplimiento no frena la adopción de IA. Las empresas que regulan sus flujos de datos desde el inicio construyen sobre bases sólidas y evitan correcciones costosas cuando la APDP ya está operativa.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.