IA para directorios: qué exigir, supervisar y documentar
Guía para directores y comités de empresas chilenas: por qué la IA es materia de directorio, la tríada de exposición legal del director, las preguntas que debe hacer a la administración y la cuenta regresiva al 1 de diciembre de 2026.
Un directorio no opera la inteligencia artificial, pero responde por su supervisión con el mismo rigor que aplica al riesgo financiero. En Cognitiva, agencia chilena de IA, lo resumimos así para los directorios que asesoramos: la IA es materia de directorio, no un asunto delegable a TI. La supervisión deficiente expone al director chileno por tres frentes simultáneos: el deber de cuidado del artículo 41 de la Ley 18.046 (con responsabilidad solidaria), la responsabilidad penal de la persona jurídica de la Ley 20.393 reforzada por la Ley de Delitos Económicos, y la Ley 21.719 de protección de datos, que entra en plena vigencia el 1 de diciembre de 2026 con multas de hasta 20.000 UTM. Según Deloitte (2025), el 66% de los directores reconoce conocimiento limitado o nulo sobre IA. Este artículo entrega lo concreto: las preguntas que el directorio debe hacer a la administración, los marcos de referencia que conviene exigir y la agenda mínima de supervisión antes de la fecha límite.
La IA es materia de directorio, no solo de TI
El deber de supervisión del directorio no distingue entre tecnologías. Así como un directorio supervisa la posición financiera y la ciberseguridad, debe supervisar cómo la administración adopta y controla la IA. Los marcos internacionales convergen en un punto: el directorio no construye los sistemas, pero responde por gobernarlos.
El dato incómodo viene de Deloitte (2025, encuesta a 700 directores y ejecutivos en 56 países): el 66% reporta conocimiento limitado o nulo sobre IA y, aunque mejorando, cerca de un tercio aún no tiene la IA como punto fijo de agenda. La brecha no es de tecnología; es de gobierno corporativo.
En jurisdicciones de derecho anglosajón esto se ancla en el estándar Caremark (deber de supervisión): la ausencia de gobernanza documentada de IA puede constituir incumplimiento del deber fiduciario en litigios de accionistas (Harvard Law School Forum on Corporate Governance, 2025). En Chile el equivalente funcional es más exigente, como veremos.
La tríada de exposición del director chileno
A diferencia del contenido importado, en Chile la supervisión de IA toca tres cuerpos legales concretos que recaen sobre el director:
1. Deber de cuidado — Ley 18.046 (artículo 41)
Los directores deben emplear el cuidado y diligencia que las personas emplean ordinariamente en sus propios negocios, y responden solidariamente de los perjuicios causados a la sociedad y a los accionistas. Es nula toda estipulación que pretenda liberarlos de esa responsabilidad. El director que quiera salvar la suya frente a un acuerdo debe dejar constancia de su oposición en el acta. Aprobar despliegues de IA sin supervisión razonable expone responsabilidad personal y solidaria.
2. Responsabilidad penal de la empresa — Ley 20.393 y Delitos Económicos
Una persona jurídica puede ser sancionada penalmente si el delito se comete en su beneficio. La eximente es un Modelo de Prevención de Delitos (MPD) efectivamente implementado. La Ley de Delitos Económicos amplió de forma significativa el catálogo de delitos y endureció las consecuencias, incluida la inhabilitación de directores para ejercer cargos. El problema práctico: la mayoría de los MPD vigentes no contemplan el riesgo de IA (decisiones automatizadas opacas, sesgo, manejo indebido de datos). Un MPD que ignora la IA es una brecha de gobierno.
3. Protección de datos — Ley 21.719
Vigente plenamente desde el 1 de diciembre de 2026. Cualquier sistema de IA que trate datos personales (scoring, RR.HH., marketing, atención) cae bajo esta ley. Las sanciones llegan a 20.000 UTM por infracción gravísima y, en reincidencia, hasta el 4% de los ingresos anuales en Chile. Las empresas de menor tamaño tienen un primer año con amonestación en lugar de multa, pero la obligación rige igual.
| Cuerpo legal | Qué exige | Riesgo para el director |
|---|---|---|
| Ley 18.046 art. 41 | Cuidado y diligencia | Responsabilidad personal y solidaria |
| Ley 20.393 + Delitos Económicos | MPD efectivo que cubra IA | Inhabilitación y sanción a la empresa |
| Ley 21.719 | Base de licitud, DPIA, seguridad | Multas hasta 20.000 UTM o 4% de ingresos |
Las preguntas que el directorio debe hacer a la administración
La National Association of Corporate Directors (NACD, 2026) propone un set de preguntas que adaptamos al contexto chileno. El directorio no necesita escribir código; necesita hacer las preguntas correctas y exigir respuestas con evidencia:
- **Estrategia.** ¿Cómo puede la IA transformar nuestro negocio y cómo medimos el éxito? ¿Cómo la usan nuestros competidores?
- **Riesgo bidireccional.** ¿Cuáles son los riesgos de incorporar IA y cuáles los de NO hacerlo? La inacción también es una decisión del directorio.
- **Cumplimiento.** ¿Estamos preparados para la Ley 21.719 antes del 1 de diciembre de 2026? ¿Nuestro MPD cubre los riesgos de IA?
- **Datos y ciberseguridad.** ¿Cuál es el estado de nuestra gobernanza de datos? ¿Qué hacemos para evitar el uso no autorizado de IA (shadow AI)?
- **Talento y composición.** ¿Tiene el directorio la experiencia para decidir sobre IA de forma informada? ¿Necesitamos capacitación o un asesor?
La señal de un buen gobierno no es que el directorio tenga todas las respuestas, sino que la administración pueda responder estas preguntas con datos, no con entusiasmo.
Marcos de referencia que conviene exigir
El directorio no debe inventar su propio marco; debe pedir a la administración que se apoye en estándares reconocidos:
NIST AI Risk Management Framework
Su función "Govern" es el cimiento de las demás (Map, Measure, Manage). Recomienda comités de supervisión de riesgo de IA integrados a la gestión de riesgo empresarial. Es voluntario, pragmático y un buen lenguaje común entre directorio y administración.
OECD AI Principles
Cinco principios basados en valores; la actualización de 2024 reforzó la "agencia y supervisión humana" y la rendición de cuentas. Útil como marco ético de alto nivel para la política de la empresa.
ISO/IEC 42001
Primer estándar internacional de sistema de gestión de IA. Su cláusula de liderazgo exige compromiso de la alta dirección: política de IA, roles, responsabilidades y recursos. Es la vía hacia una gobernanza certificable cuando el negocio lo amerita.
Para una lectura comparada de los dos primeros, ver nuestro artículo sobre NIST AI RMF frente a ISO 42001.
Shadow AI: el riesgo que el directorio no ve
El riesgo más subestimado es el uso no autorizado de IA por los propios colaboradores. Según IDC (2025), más de la mitad de los empleados usa herramientas de IA no aprobadas por la empresa. El informe Cost of a Data Breach 2025 de IBM cuantifica el daño: la presencia de "shadow AI" agrega del orden de USD 670.000 al costo medio de una brecha, y el 63% de las organizaciones aún no tiene políticas de gobernanza de IA.
La lección operativa es contraintuitiva: prohibir no funciona, porque buena parte de los usuarios sigue usando las herramientas igual. Lo que funciona es una lista blanca de herramientas aprobadas, cuentas empresariales con controles, capacitación y una política clara. El directorio debe exigir que exista esa política y que se mida su cumplimiento.
Del riesgo a la oportunidad
Un directorio que solo frena la IA falla tanto como el que la aprueba a ciegas. La pregunta de la NACD —¿cuáles son los riesgos de NO adoptar IA?— es la menos usada en los directorios chilenos y, muchas veces, la más relevante: perder competitividad frente a pares que sí la adoptan es un riesgo estratégico real.
El encuadre maduro es dual: gobernar el riesgo y capturar la oportunidad con la misma disciplina. Eso se traduce en un comité de gobernanza de IA con mandato claro, métricas de adopción y de riesgo, y revisión periódica en agenda de directorio.
Cuenta regresiva al 1 de diciembre de 2026
La fecha de plena vigencia de la Ley 21.719 funciona como hito de gobierno. Antes de esa fecha, el directorio debería poder responder afirmativamente: ¿tenemos inventario de sistemas de IA y de datos personales que tratan?, ¿tenemos política de uso de IA aprobada?, ¿hicimos las evaluaciones de impacto (DPIA) de los tratamientos de alto riesgo?, ¿nuestro MPD incorpora el riesgo de IA?
En paralelo avanza el proyecto de Ley de IA de Chile (Boletín 16.821-19), aprobado por la Cámara y en segundo trámite en el Senado a la fecha de publicación; sigue un enfoque por niveles de riesgo similar al europeo. No es ley aún, pero quien ordena su gobierno hoy se adelanta a ambos marcos.
Este artículo no constituye asesoría legal. Para casos específicos, consulta a un abogado especializado en gobierno corporativo y protección de datos.
Agenda mínima de supervisión de IA del directorio
Cuatro frentes que un directorio chileno debe cubrir antes del 1 de diciembre de 2026.
- Mes 1
Inventario y exposición
Entender qué hay y qué se expone.
- Pedir inventario de sistemas de IA en uso (incluido shadow AI)
- Mapear qué datos personales tratan esos sistemas
- Identificar tratamientos de alto riesgo
- Mes 2
Marco y política
Dotar a la empresa de reglas.
- Aprobar la política de uso de IA
- Constituir o ratificar el comité de gobernanza de IA
- Adoptar un marco de referencia (NIST AI RMF o ISO 42001)
- Mes 2-3
Riesgo y cumplimiento
Cerrar brechas antes de la fecha límite.
- Exigir DPIA de los tratamientos de alto riesgo
- Revisar que el MPD incorpore el riesgo de IA
- Verificar avance del plan Ley 21.719
- Trimestral
Monitoreo continuo
La supervisión no termina.
- Definir KPIs de adopción y de riesgo de IA
- Fijar reporte trimestral de la administración al directorio
- Dejar constancia en actas de la supervisión ejercida
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.