DPA con tu proveedor de IA: qué exigir antes de diciembre de 2026
La Ley 21.719 obliga a firmar un Acuerdo de Tratamiento de Datos con cada proveedor de IA antes del 1 de diciembre de 2026. Conoce las 7 cláusulas específicas que los DPA estándar suelen omitir y cómo auditarlas en los contratos de OpenAI, Anthropic y Google.
La Ley 21.719 entra en vigencia el 1 de diciembre de 2026 con una obligación concreta para toda empresa que use IA con datos de clientes o empleados: firmar un Acuerdo de Tratamiento de Datos (DPA) con cada proveedor. Cognitiva, agencia chilena de IA, preparó esta lista de verificación con 7 cláusulas específicas para que puedas auditar y negociar tu DPA antes del plazo.\n\nLa ley trae multas de hasta 20.000 UTM en infracciones gravísimas y una Agencia de Protección de Datos Personales (APDP) que estará operativa desde octubre de 2026. El problema es que los DPA estándar que ofrecen los grandes proveedores —OpenAI, Anthropic, Google— no contemplan los riesgos específicos de la IA: que el proveedor use tus datos para entrenar sus modelos, que los retenga más allá del contrato, que incorpore sub-procesadores sin avisarte o que cambie la arquitectura del modelo sin notificación. Sin esas cláusulas negociadas, la responsabilidad recae en tu empresa.
Por qué el DPA es obligatorio con tu proveedor de IA
La Ley 21.719 establece que el responsable del tratamiento —es decir, tu empresa— debe documentar por escrito cada relación en la que delega el procesamiento de datos personales. Este documento es el Acuerdo de Tratamiento de Datos, o DPA. Aplica a cualquier plataforma de IA que tu equipo use con información real de clientes, candidatos o empleados: un asistente de ventas conectado al CRM, un clasificador de solicitudes de soporte, un generador de reportes sobre datos de usuarios o incluso el uso de ChatGPT con contexto de clientes ingresado directamente en el prompt. Todos esos escenarios constituyen un 'encargo de tratamiento' bajo la ley, y sin contrato que lo regule, el responsable legal eres tú.
La Agencia de Protección de Datos Personales (APDP) estará operativa desde octubre de 2026, dos meses antes de que la ley entre en vigor. Eso significa que los primeros expedientes sancionadores pueden abrirse desde diciembre de 2026 y que no hay margen para postergar. Las pymes cuentan con un período de gracia de 12 meses —hasta el 1 de diciembre de 2027—, durante el cual el régimen sancionatorio contempla amonestaciones escritas antes que multas económicas para empresas de menor tamaño. La potestad sancionatoria plena de la APDP rige desde el 1 de diciembre de 2026. Esa gracia aplica a las sanciones económicas, no a la obligación de tener el DPA firmado: sin contrato, cualquier tratamiento de datos entre diciembre de 2026 y diciembre de 2027 igualmente expone a tu empresa ante la autoridad regulatoria.
Las 7 cláusulas específicas de IA que debes exigir
Los DPA estándar de los grandes proveedores cumplen los requisitos mínimos de la mayoría de las legislaciones de datos, pero no fueron redactados pensando en los riesgos que introduce la IA. A continuación, la lista de verificación de Cognitiva con las 7 cláusulas que debes verificar o negociar antes de diciembre de 2026. Si tu contrato actual no las incluye, ese es el punto de partida de la negociación.
| # | Cláusula | Qué exigir al proveedor | Señal de alerta |
|---|---|---|---|
| 1 | Prohibición de entrenamiento | Cláusula expresa que prohíbe usar tus datos para entrenar, ajustar (fine-tuning) o mejorar cualquier modelo, sea del proveedor o de terceros. | Lenguaje como 'nos reservamos el derecho de mejorar el servicio con los datos ingresados'. |
| 2 | Retención cero post-contrato | Eliminación verificable de todos los datos en un plazo máximo definido —por ejemplo, 30 días— tras el término o resolución del contrato. | Ausencia de plazo concreto o cláusula de 'anonimización' sin definición técnica de lo que eso implica. |
| 3 | Declaración de sub-procesadores de modelos | Lista actualizada de todos los modelos de terceros, APIs de inferencia y capas de procesamiento que puedan acceder a tus datos durante el servicio. | Referencia vaga a 'sub-procesadores según nuestra política vigente' sin lista concreta ni notificación ante cambios. |
| 4 | Notificación ante cambios de arquitectura | Aviso con al menos 30 días de anticipación si el proveedor cambia el modelo subyacente, la infraestructura de inferencia o cualquier componente que procese tus datos. | Cambios de modelo o infraestructura sin obligación de notificación previa al cliente empresarial. |
| 5 | Plazo de notificación de brechas | Notificación a tu empresa en un plazo máximo de 24 horas desde que el proveedor detecte un incidente que afecte tus datos, para que tú puedas notificar a la APDP. | Solo compromiso de notificar 'sin dilación' sin plazo concreto ni canal de contacto de emergencia. |
| 6 | Derecho a auditoría o certificación equivalente | Acceso a informes de auditoría independiente (SOC 2 Tipo II, ISO 27001) o derecho contractual a realizar auditorías propias con aviso previo razonable. | Acceso solo a políticas públicas o documentación comercial del proveedor, sin informes auditados de terceros. |
| 7 | Mecanismo para transferencias internacionales | Identificación explícita del mecanismo legal que habilita la transferencia de datos personales chilenos al país donde opera la infraestructura del proveedor. | Datos procesados en 'centros globales' o 'regiones múltiples' sin especificar el mecanismo de adecuación ni las garantías contractuales aplicables. |
Esta lista de verificación es un punto de partida, no un documento legal. Cada empresa debe adaptarla según el tipo de datos que procesa su proveedor de IA y el nivel de riesgo que representa ese tratamiento. Los proveedores de IA para sectores sensibles —salud, finanzas, recursos humanos— pueden requerir cláusulas adicionales y posiblemente una Evaluación de Impacto en Protección de Datos (DPIA) previa a la firma.
Cómo revisar los contratos de OpenAI, Anthropic y Google
Los tres principales proveedores de modelos fundacionales tienen disponibles acuerdos de procesamiento de datos para sus planes empresariales. El punto de partida no es negociar desde cero, sino entender qué cubre cada documento y dónde existen vacíos frente a las 7 cláusulas de la lista de verificación.
- OpenAI (API y ChatGPT Enterprise): ofrece un Data Processing Addendum para el uso vía API y el plan ChatGPT Enterprise. Incluye compromiso de no entrenamiento con datos de clientes enviados a través de la API, listado de sub-procesadores y cláusulas para transferencias internacionales. Los planes ChatGPT Free y Plus no incluyen DPA; los datos ingresados en esas interfaces pueden usarse para mejorar los modelos salvo que el usuario desactive la opción manualmente.
- Anthropic (Claude API y Claude para Empresas): el acuerdo de datos cubre confidencialidad y restricción de uso de los datos de producción para los clientes de la API y del plan empresarial. Claude.ai en plan gratuito o Pro no incluye cobertura de DPA empresarial.
- Google Cloud y Google Workspace: cuentan con acuerdos de procesamiento de datos detallados, que incluyen compromisos sobre sub-procesadores, cifrado en tránsito y en reposo, y notificación de incidentes. Los productos de consumo —Gemini en Gmail, Docs o Drive en cuentas personales— operan bajo términos de usuario final sin DPA empresarial, independientemente de si se usan con datos de trabajo.
Al revisar el DPA recibido, contrástalo punto a punto con las 7 cláusulas de la lista de verificación. Para los puntos no cubiertos, redacta un adéndum que los incorpore y propón la firma conjunta. En el caso de proveedores que no acepten modificaciones —habitual en planes de consumo masivo—, evalúa si el nivel de riesgo que representan justifica usarlos con datos personales reales o si conviene migrar al plan empresarial o a un proveedor que ofrezca DPA negociable.
Plan de acción: del inventario a la firma antes del plazo
Cuatro pasos para tener el DPA firmado antes de diciembre
- Inventaría los proveedores de IA activos: identifica qué plataformas usa tu empresa, quién las opera internamente, qué datos procesan y si acceden a datos personales de clientes, candidatos o empleados. Incluye integraciones en plataformas de automatización como n8n, Make o Zapier, y cualquier agente de IA desplegado internamente que consuma datos de sistemas propios.
- Clasifica el nivel de riesgo: los proveedores que acceden a datos sensibles —datos de salud, datos financieros, datos de menores o datos biométricos— requieren cláusulas más estrictas y posiblemente una Evaluación de Impacto en Protección de Datos (DPIA) antes de formalizar la firma.
- Solicita o localiza el DPA de cada proveedor: pide el documento a tu contacto comercial o encuéntralo en el portal legal del proveedor. Contrástalo con las 7 cláusulas de la lista de verificación e identifica los puntos faltantes o genéricos que deban negociarse.
- Negocia, firma y registra: para los proveedores que acepten modificaciones, redacta el adéndum con las cláusulas faltantes. Una vez firmado, registra el DPA en tu Registro de Actividades de Tratamiento (RAT) con fecha de vigencia y programa una revisión anual o cada vez que el proveedor notifique cambios en sus condiciones o arquitectura de modelos.
El tiempo disponible es suficiente si actúas hoy: a cinco meses del plazo, la mayoría de los DPA con grandes proveedores se puede revisar, negociar y firmar en menos de 30 días. Lo que no se puede dejar para el último momento es el inventario de proveedores.
El inventario de proveedores y la clasificación de riesgo son el insumo necesario para priorizar. Sin ese mapa, es imposible saber cuántos DPA hay que negociar, cuáles son urgentes y cuáles pueden esperar. La experiencia en proyectos de cumplimiento indica que la mayoría de los grandes proveedores cloud ya tiene DPA disponible bajo solicitud; el trabajo real está en las cláusulas específicas de IA que ningún contrato estándar incluye por defecto y en los proveedores menores que no siempre disponen de ese documento.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.