DPIA paso a paso para sistemas IA en empresa chilena
Plantilla operativa y ejemplo aplicado para realizar una Evaluación de Impacto en Protección de Datos sobre un sistema IA bajo Ley 21.719 vigente el 1-dic-2026.
La DPIA (Data Protection Impact Assessment) es el análisis previo que la Ley 21.719 exige para tratamientos de datos personales con alto riesgo, y la futura Ley IA chilena exigirá para sistemas de alto riesgo. Para un Gerente Legal o Compliance Officer en Chile, hacer una DPIA bien es la diferencia entre tener un programa de cumplimiento real y tener un documento de marketing legal. Este satélite entrega la plantilla de 7 secciones que aplicamos en Cognitiva, un ejemplo aplicado a un agente WhatsApp empresarial y los errores típicos que detectan auditorías. No reemplaza asesoría legal especializada; sí entrega el marco operativo.
¿Cuándo es obligatoria una DPIA?
Según el modelo de la Ley 21.719 (alineado a GDPR y al proyecto de Ley IA chileno), una DPIA es obligatoria cuando el tratamiento implica alto riesgo para los derechos del titular. Casos concretos:
- Tratamiento sistemático y a gran escala de datos sensibles (salud, datos biométricos, datos de niños).
- Decisiones automatizadas con efectos significativos sobre personas (scoring, contratación, denegación de servicio).
- Vigilancia sistemática de un área accesible al público.
- Uso de tecnología nueva o innovadora (la IA generativa califica).
- Combinación o cruce de datasets de fuentes diferentes para perfilar individuos.
Aún cuando no sea estrictamente obligatoria, realizar DPIA en cualquier sistema IA productivo es buena práctica y simplifica auditorías futuras.
Plantilla DPIA — 7 secciones
| Sección | Contenido |
|---|---|
| 1. Descripción del tratamiento | Qué hace el sistema IA, qué datos personales procesa, cuántos titulares, frecuencia, contexto. |
| 2. Base de licitud | Consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés vital o función pública. Justificar la elegida. |
| 3. Necesidad y proporcionalidad | Demostrar que la finalidad del tratamiento se cumple con los datos mínimos necesarios; no hay alternativa menos invasiva. |
| 4. Identificación de riesgos | Riesgos sobre los titulares: acceso indebido, pérdida, discriminación, decisión automatizada errada, pérdida de confidencialidad. |
| 5. Medidas de mitigación | Controles técnicos (encriptación, RBAC, logging) y organizacionales (capacitación, gobernanza, contratos). |
| 6. Riesgo residual | Después de las mitigaciones, qué riesgo permanece. Aceptable, requiere consulta a Agencia, o no procede el tratamiento. |
| 7. Decisión y firmas | Aprobación o rechazo del tratamiento. Firmas del DPO, responsable funcional y, cuando aplique, del Gerente Legal. |
Ejemplo aplicado: DPIA de agente WhatsApp empresarial
Tomamos un caso simple: agente WhatsApp para atención al cliente de un retail mediano chileno. Procesa: nombre, número de teléfono, consultas, historial de compras vía conexión con CRM.
1. Descripción
Sistema IA que recibe mensajes WhatsApp, decide si responder o derivar a humano, consulta historial de compras del cliente en CRM, genera respuesta. Volumen: ~5.000 conversaciones mensuales, 100% titulares chilenos.
2. Base de licitud
Ejecución del contrato del cliente con la empresa (interpretación amplia para gestión de la relación comercial). Al iniciar conversación se informa que se usa IA y que se puede solicitar humano.
3. Necesidad y proporcionalidad
Los datos procesados son los mínimos para atender la consulta (nombre, teléfono que viene de WhatsApp, historial relevante). No se procesan datos sensibles. La finalidad se cumple sin necesidad de datos adicionales.
4. Riesgos identificados
- Acceso indebido a la conversación si las API keys se filtran.
- Alucinación del modelo entregando información incorrecta del cliente.
- Decisión automatizada de denegar atención sin intervención humana.
- Transferencia internacional (Anthropic procesa en US).
5. Mitigaciones
- Secrets en variables de entorno + rotación trimestral + acceso restringido.
- Eval suite con casos representativos antes de cada cambio de modelo o prompt.
- No automatización de decisiones críticas: agente nunca cancela compras ni niega servicio sin humano.
- DPA firmado con Anthropic + opt-out de entrenamiento + retención cero.
6. Riesgo residual
Aceptable. No requiere consulta previa a la Agencia. Revisar anualmente o ante cambio material.
7. Firmas
DPO, Gerente Comercial (responsable funcional), CIO. Sin Gerente Legal en caso PyME estándar; con Gerente Legal en casos sensibles o sectores regulados.
Errores típicos que detectan auditorías
- DPIA reactiva en lugar de preventiva (se hace cuando hay incidente, no antes de poner sistema en producción).
- Plantilla genérica sin contextualizar al caso real (queda evidente).
- Mitigaciones declaradas sin evidencia de implementación.
- Sin actualización después del cambio material (cambio de modelo, alcance, proveedor).
- Sin firmas o con firmas de gente sin atribución para decidir.
- Sin trazabilidad: el documento dice qué se hizo pero no muestra evidencia técnica (configuraciones, logs).
DPIA paso a paso en 4 semanas
Cuatro fases para producir una DPIA defendible.
- Semana 1
Diagnóstico
Reunir información del sistema, datos procesados, stakeholders.
- Identificar el sistema y su alcance
- Mapeo de datos personales involucrados
- Identificar responsables funcional y técnico
- Semana 2
Evaluación de riesgos
Identificar todos los riesgos y graduarlos por probabilidad y severidad.
- Brainstorm con TI + Legal + responsable funcional
- Clasificar cada riesgo en matriz
- Priorizar para mitigación
- Semana 3
Diseño de mitigaciones
Definir controles técnicos y organizacionales para cada riesgo.
- Mapear controles existentes
- Diseñar controles faltantes con responsable y plazo
- Calcular riesgo residual esperado
- Semana 4
Revisión y firmas
Cierre formal del documento con firmas.
- Revisión por DPO + Gerente Legal
- Implementación de los controles antes de go-live
- Firmas y archivo
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.