Decisiones automatizadas e IA: lo que debes implementar antes del 1 de diciembre de 2026
El artículo 8° bis de la Ley 21.719 impone cuatro controles ante decisiones automatizadas con IA: transparencia, explicabilidad, revisión humana y mecanismo de impugnación. Cognitiva entrega el mapa de riesgo y el checklist técnico para cumplir antes de diciembre de 2026.
Cognitiva, agencia chilena de IA, identifica en el artículo 8° bis de la Ley 21.719 la obligación más técnica y menos difundida de toda la norma: el derecho a no ser sometido a decisiones basadas únicamente en tratamiento automatizado cuando produzcan efectos jurídicos o afecten significativamente al titular. Esta exigencia entra en vigor el 1 de diciembre de 2026 y alcanza a toda empresa —sin importar su tamaño— que use algoritmos para aprobar créditos, fijar precios, seleccionar candidatos o segmentar clientes. La gran mayoría del contenido local sobre la Ley 21.719 se concentra en el régimen de multas o en la nueva Agencia de Protección de Datos Personales. Esta obligación específica, que afecta directamente a quien ya usa IA en procesos que involucran a personas, permanece prácticamente ausente del debate. El artículo entrega el mapa de casos de uso de mayor riesgo para pymes chilenas, los cuatro controles que la ley exige implementar y el checklist propietario de Cognitiva con los controles técnicos y organizacionales necesarios para cumplir antes de diciembre.
Qué establece el artículo 8° bis de la Ley 21.719
La Ley 21.719, promulgada el 25 de noviembre de 2024 y vigente desde el 1 de diciembre de 2026, introduce por primera vez en Chile el concepto de decisiones individuales automatizadas con garantías legales explícitas. El artículo 8° bis consagra el derecho del titular a oponerse a cualquier decisión basada únicamente en el tratamiento automatizado de sus datos personales —incluyendo el perfilamiento— cuando esa decisión produzca efectos jurídicos o le afecte de manera significativa.
La norma no distingue por tamaño de empresa ni por sofisticación tecnológica: el criterio es el efecto sobre la persona. Tampoco exige que el sistema utilice inteligencia artificial en el sentido técnico estricto; cualquier proceso algorítmico que derive en una decisión con consecuencias reales queda dentro del alcance. Un motor de aprobación de crédito, un sistema de precios diferenciados por perfil o un filtro automatizado de candidatos son ejemplos directamente aplicables.
El alcance práctico es más amplio de lo que muchas empresas anticipan. Si tu empresa usa un sistema de gestión de crédito con aprobaciones automáticas, una plataforma de reclutamiento con filtros algorítmicos, un motor de pricing dinámico o un motor de recomendación que excluye activamente ciertos perfiles de ofertas disponibles, ya opera dentro del ámbito de este artículo.
Aviso legal
Este artículo no constituye asesoría legal. Para evaluar el cumplimiento específico de tu empresa, consulta con un abogado especializado en protección de datos. La información aquí presentada tiene fines informativos y de orientación general.
Casos de uso de alto riesgo para pymes chilenas
El primer paso para cumplir el artículo 8° bis es mapear qué sistemas de tu empresa producen decisiones automatizadas que afectan a personas. En el contexto chileno, los casos más frecuentes en empresas B2B y de servicios financieros, logística y recursos humanos son los siguientes:
| Caso de uso | Descripción del riesgo | Nivel de riesgo |
|---|---|---|
| Scoring crediticio | Aprobación o rechazo de crédito sin revisión humana individual | Alto |
| Selección de personal | Filtro automatizado de candidatos en ATS sin revisión caso a caso | Alto |
| Pricing dinámico | Precios diferenciados según perfil, historial o segmento del cliente | Medio-alto |
| Segmentación de clientes | Exclusión activa de perfiles de ofertas o servicios disponibles | Medio-alto |
| Detección de fraude | Bloqueo automático de transacciones o cuentas sin revisión previa | Medio-alto |
| Chatbot que niega acceso | Bot que determina si un cliente califica y niega atención sin escalación humana | Medio |
Si tu empresa opera cualquiera de estos sistemas —o uno similar con efectos directos sobre personas— ya está dentro del alcance del artículo 8° bis. La clasificación por nivel de riesgo orienta la priorización: los casos 'Alto' requieren los cuatro controles legales de forma completa e inmediata; los 'Medio' o 'Medio-alto' requieren al menos transparencia y revisión humana habilitada.
El punto de partida no es implementar controles, sino levantar el inventario: qué sistemas existen, qué datos usan, qué decisiones producen y a quiénes afectan. Sin ese mapa, no es posible dimensionar el esfuerzo ni priorizarlo correctamente.
Los cuatro controles que la Ley 21.719 exige
La Ley 21.719 establece cuatro garantías mínimas que el responsable del tratamiento debe implementar cuando opera sistemas de decisión automatizada. Son obligaciones permanentes y proactivas: deben estar en pie antes de que el sistema tome la primera decisión sobre un titular, no como respuesta a una queja.
| Control | Obligación legal | Qué implica en la práctica |
|---|---|---|
| 1. Transparencia | Informar al titular que existe un proceso automatizado y qué datos utiliza | Aviso claro y específico antes de que el sistema decida; no basta una cláusula genérica en los términos y condiciones |
| 2. Explicabilidad de la lógica | Revelar la lógica de la decisión en términos comprensibles ante solicitud del titular | Módulo técnico que recupera y comunica las variables con mayor peso en cada decisión individual |
| 3. Revisión humana habilitada | Permitir que el titular solicite que una persona revise la decisión automatizada | Canal formal con plazo definido; el sistema automatizado no puede ser la única instancia de decisión |
| 4. Mecanismo de impugnación | Habilitar la oposición del titular y la solicitud de una nueva evaluación de su caso | Procedimiento escrito con criterios, responsable designado y plazo de respuesta comunicado al titular |
Estos cuatro controles son el piso legal mínimo. Ninguno es opcional. La carga de la prueba recae sobre el responsable del tratamiento: en caso de reclamación ante la Agencia de Protección de Datos Personales, debes demostrar que los controles existían y eran operativos antes del incidente.
El checklist técnico y organizacional de Cognitiva
Los cuatro controles legales se traducen en decisiones técnicas y organizacionales concretas. Cognitiva sintetiza las obligaciones del artículo 8° bis y los requisitos complementarios de la Ley 21.719 en el siguiente checklist de implementación, que sirve como punto de partida para estimar el esfuerzo real antes del diagnóstico formal:
- Inventario de decisiones automatizadas: documenta cada sistema que produce decisiones con efecto sobre personas. Registra tipo de datos que usa, lógica del proceso, efecto concreto sobre el titular y si existe revisión humana actualmente. Es la base de todo lo demás.
- Evaluación de Impacto en Protección de Datos (EIPD): cuando el sistema realiza perfilamiento sistemático o decisiones de alto impacto, la EIPD es obligatoria. Documenta riesgos identificados, medidas mitigantes adoptadas y la autoridad interna que la aprueba.
- Capa de transparencia activa: informa al usuario antes de que el sistema decida. El aviso debe especificar qué datos se usan y qué tipo de decisión se tomará sobre él. No puede reducirse a una cláusula genérica enterrada en los términos y condiciones.
- Módulo de explicabilidad: implementa un mecanismo —API interna o log estructurado— que permita recuperar y comunicar la lógica detrás de cada decisión individual. Para modelos de machine learning, herramientas como SHAP o LIME permiten extraer las variables con mayor peso en lenguaje comprensible para el titular.
- Canal de solicitud de revisión humana: habilita un canal formal —correo, formulario o sistema de tickets— para que el titular solicite revisión por una persona. Define el responsable interno y el plazo de respuesta, alineado con los 30 días corridos —prorrogables por una sola vez hasta por otros 30 días corridos— que el artículo 11 de la Ley 21.719 establece para responder solicitudes de derechos del titular.
- Procedimiento de impugnación documentado: define quién recibe la solicitud, quién la revisa, con qué criterios, en qué plazo y cómo se comunica el resultado al titular. El procedimiento debe estar escrito, actualizado y conocido por el equipo responsable.
- Registro de Actividades de Tratamiento (RAT): documenta todos los tratamientos, incluyendo las decisiones automatizadas, con finalidad, base de licitud, destinatarios y plazos de conservación de datos. Es el instrumento de accountability ante la Agencia.
- Protocolo de notificación de brechas sin dilaciones indebidas: si un incidente afecta los datos usados en decisiones automatizadas, debes notificar a la Agencia de Protección de Datos Personales por los medios más expeditos posibles y sin dilaciones indebidas (artículo 14 sexies de la Ley 21.719). La norma chilena no establece un plazo numérico de horas; ese estándar de 72 horas proviene del GDPR europeo y no es un requisito de la ley chilena. Diseña y prueba el protocolo antes de que ocurra el incidente.
Este checklist es el marco propietario de Cognitiva para acompañar a empresas chilenas en la implementación de los controles de decisión automatizada bajo la Ley 21.719. No reemplaza la asesoría legal, pero permite estimar el esfuerzo técnico y organizacional real, y establecer una hoja de trabajo clara con los equipos de TI, legal y operaciones.
Régimen de sanciones y plazos clave
La Ley 21.719 establece un régimen de multas escalonado. Las infracciones más graves —incluyendo el tratamiento no autorizado en sistemas de decisión automatizada y la vulneración de los derechos del titular— pueden alcanzar hasta 20.000 UTM. En caso de reincidencia, las multas se triplican. La Agencia también puede imponer la suspensión del tratamiento por hasta 30 días y publicar las sanciones aplicadas, con el impacto reputacional que eso conlleva.
| Tipo de infracción | Multa máxima | Agravante |
|---|---|---|
| Leve | Hasta 5.000 UTM | — |
| Grave | Hasta 10.000 UTM | — |
| Gravísima | Hasta 20.000 UTM | Triplicable en reincidencia |
Las pymes que califican como empresas de menor tamaño bajo la Ley 20.416 tienen una ventana de gracia durante el primer año de vigencia: entre diciembre de 2026 y diciembre de 2027 recibirán amonestaciones escritas en lugar de multas económicas. Sin embargo, esa ventana no exime de implementar los controles. La Agencia de Protección de Datos Personales estará operativa hacia fines de 2026 y puede exigir cumplimiento desde el primer día de vigencia de la ley.
Hoja de ruta para cumplir antes del 1 de diciembre
Con menos de seis meses de margen, el tiempo es escaso. Una hoja de ruta pragmática por fases, basada en el checklist de Cognitiva:
- Semanas 1-4 — Diagnóstico: levanta el inventario de sistemas (paso 1 del checklist) y determina cuáles requieren EIPD (paso 2). Identifica brechas críticas e inicia la EIPD para los sistemas clasificados como 'Alto' en el mapa de riesgo.
- Semanas 5-10 — Arquitectura técnica: implementa el módulo de explicabilidad (paso 4) y la capa de transparencia activa (paso 3). Son los controles con mayor tiempo de desarrollo y los que requieren más coordinación con el equipo de ingeniería.
- Semanas 11-16 — Gobernanza y procesos: formaliza el canal de revisión humana (paso 5), el procedimiento de impugnación (paso 6) y el RAT (paso 7). Entrena al equipo responsable de gestionar las solicitudes de titulares.
- Semanas 17-22 — Operaciones y pruebas: implementa el protocolo de notificación de brechas (paso 8). Realiza una prueba completa del ciclo: solicitud de revisión, respuesta, documentación y cierre del caso.
- Semana 23 en adelante — Verificación: realiza una auditoría interna o externa del cumplimiento. Consolida la documentación de cada control para presentar ante la Agencia si corresponde.
Cognitiva puede acompañarte en cualquiera de estas fases: desde el diagnóstico técnico de tus sistemas hasta la implementación del módulo de explicabilidad y los canales de revisión. El primer paso es estimar el esfuerzo real según tu stack actual. Agenda un diagnóstico inicial para conocer el estado de tus sistemas frente al artículo 8° bis.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.