Ley IA Chile + Ley 21.719: guía operativa de 90 días para gerentes
Plan de 90 días para gerentes chilenos: comité de gobernanza, política de uso de IA generativa y DPIA antes de la entrada en vigor de la Ley 21.719.
Chile aprobó la Ley 21.719 de Protección de Datos Personales el 13 de diciembre de 2024 y entra en vigor el 1 de diciembre de 2026. En paralelo, el Proyecto de Ley de Inteligencia Artificial está en segundo trámite constitucional en el Senado, con sanciones gravísimas de hasta 20.000 UTM en su versión aprobada por la Cámara de Diputados. Para una empresa chilena que ya usa IA generativa —Copilot, ChatGPT Enterprise, agentes de WhatsApp, búsqueda semántica sobre documentos propios— esto significa aproximadamente 90 días útiles entre julio y diciembre de 2026 para llegar lista al cambio normativo. Lo que sigue es la ruta operativa que recomendamos en Cognitiva: comité de gobernanza armado en los primeros 30 días, política de uso publicada entre los días 31 y 60, evaluación de impacto en protección de datos (DPIA) y AI literacy completados antes del día 90. No reemplaza asesoría legal especializada; reemplaza la parálisis.
Las dos leyes que cambian el juego en 2026
Las empresas chilenas tienen dos relojes en marcha simultáneamente: la Ley 21.719 de Protección de Datos Personales —ya publicada y con vigencia confirmada— y el Proyecto de Ley de Inteligencia Artificial, todavía en tramitación pero con momentum legislativo claro. Son normas distintas con propósitos complementarios, y la mayoría de los gerentes los confunde.
Ley 21.719: cuándo entra en vigor y a quién aplica
La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y, por mandato expreso del propio texto, entra en vigencia el 1 de diciembre de 2026. No establece umbrales de tamaño: aplica a toda persona natural o jurídica que trate datos personales en Chile o desde Chile, sea PyME, fundación, holding o empresa pública.
Lo que cambia respecto a la Ley 19.628 actualmente vigente es estructural:
- Crea la Agencia de Protección de Datos Personales, organismo público autónomo con potestades sancionatorias y de fiscalización.
- Introduce un catálogo de derechos del titular alineado al modelo europeo (acceso, rectificación, oposición, cancelación, portabilidad, oposición a decisiones automatizadas).
- Obliga a la notificación de brechas a la Agencia en plazos breves (estándar internacional: 72 horas).
- Establece multas de hasta 20.000 UTM o, en infracciones gravísimas, hasta el 4 % de los ingresos anuales del infractor.
- Reconoce explícitamente el derecho a no ser objeto de decisiones automatizadas sin intervención humana significativa cuando afecten derechos del titular.
Ese último punto es el puente directo con la regulación de IA: cualquier sistema que decida sobre personas —scoring crediticio, evaluación de postulantes a un empleo, pricing dinámico, detección de fraude— cae dentro del alcance.
Proyecto de Ley de IA: dónde está hoy en el Congreso
El proyecto unificado (boletines 16821-19 y 15869-19) sigue el enfoque basado en riesgos del EU AI Act. Fue aprobado por la Cámara de Diputados el 13 de octubre de 2025 y actualmente se tramita en el Senado, comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación.
Lo esencial del texto vigente en discusión, según el Observatorio Legislativo UC y la cobertura de IAPP:
- Clasificación de riesgo en cuatro niveles: inaceptable, alto, limitado, sin riesgo evidente.
- Obligaciones graduadas según el nivel: documentación, transparencia, supervisión humana, evaluación previa.
- Consejo Asesor Técnico de IA dependiente del Ministerio de Ciencia.
- Sanciones: leves hasta 5.000 UTM, graves hasta 10.000 UTM, gravísimas hasta 20.000 UTM.
- Vigencia: primer día hábil del mes 12 siguiente a la publicación en el Diario Oficial.
La fecha exacta de promulgación depende del Senado y de eventual comisión mixta. Para fines de planificación operativa, asumir vigencia durante el segundo semestre de 2027 es prudente.
Cómo se relacionan entre sí (y con la Ley 19.628 vigente)
La Ley 21.719 regula los datos personales que un sistema de IA consume y produce. La Ley de IA regula el sistema y sus efectos sobre derechos fundamentales. Son capas complementarias: el dato y la decisión que ese dato habilita.
Mientras se aprueba la Ley de IA, la Ley 21.719 ya impone obligaciones de gobernanza, transparencia y rendición de cuentas que cubren la mayoría de los riesgos derivados de IA aplicada a personas. Quien empiece su programa de cumplimiento el 1 de diciembre de 2026 llega tarde: la Agencia tendrá facultades de fiscalización desde el primer día.
El costo real de no cumplir
Las cifras son materialmente significativas. La tabla siguiente muestra los rangos sancionatorios principales.
| Norma | Sanción máxima | Equivalente referencial 2026 |
|---|---|---|
| Ley 21.719 — infracción gravísima | 20.000 UTM o 4 % de ingresos anuales (lo mayor) | ≈ CLP 1.460 millones (UTM jun-2026 ≈ CLP 73.050) o 4 % facturación |
| Proyecto Ley IA — gravísima | 20.000 UTM | ≈ CLP 1.460 millones |
| Ley 21.719 — leve | hasta 100 UTM | ≈ CLP 7,3 millones |
El valor UTM cambia mensualmente. Verificar el valor vigente al momento de calcular exposición real.
Daño reputacional y arrastre comercial
La experiencia internacional —GDPR en Europa, LGPD en Brasil— muestra que el costo reputacional supera al monetario en empresas medianas. Una notificación pública de brecha o una sanción de la Agencia se traduce en pérdida de clientes B2B, cláusulas de auditoría más onerosas en contratos vigentes y dificultad para postular a licitaciones públicas. En sectores regulados (banca, seguros, salud, retail con datos sensibles), el daño es estructural.
Bloqueo a exportación: el efecto Bruselas
Si la empresa exporta servicios digitales o trata datos de residentes en la Unión Europea, el EU AI Act aplica de forma extraterritorial. Su aplicación general estaba prevista para el 2 de agosto de 2026, ahora en discusión por la Digital Omnibus de la Comisión Europea. Chile, México y Brasil siguen el modelo regulatorio europeo, lo que en la práctica armoniza expectativas: un programa de cumplimiento construido para la Ley 21.719 + Ley IA Chile cubre la mayoría de los controles que un cliente europeo exigirá.
Tu mapa de calor regulatorio: ¿qué sistemas IA uso hoy?
Antes de diseñar el plan de 90 días, la empresa necesita saber qué tiene. La mayoría descubre que usa más IA de la que creía: SaaS con IA embebida (HubSpot, Salesforce, Notion AI, Microsoft 365 Copilot), modelos consumidos vía API, agentes desplegados en WhatsApp o sitio web, copilotos de desarrollo, shadow IT del equipo experimentando con ChatGPT personal.
Inventario de sistemas IA y proveedores actuales
El primer artefacto que debe producir el comité de gobernanza es un inventario. Estructura mínima por sistema:
- Nombre y categoría (asistente conversacional, copiloto, agente, modelo embebido, motor de recomendación, detector de fraude).
- Proveedor y modelo subyacente (OpenAI, Anthropic Claude, Google Gemini, Microsoft Copilot, modelo propio).
- Datos que recibe (texto libre del cliente, documentos internos, historial transaccional, biometría, imágenes, voz).
- Datos personales involucrados (¿hay nombres, RUT, ubicación, correo, historial financiero, datos sensibles?).
- Decisión que toma o asistencia que entrega.
- Responsable funcional y responsable técnico.
- Contrato vigente y cláusulas de protección de datos (DPA, sub-procesadores, retención, jurisdicción).
Clasificación de riesgo según el proyecto chileno (matriz Cognitiva)
El proyecto de Ley IA chileno establece cuatro niveles. La matriz siguiente —construida por Cognitiva a partir del texto en discusión y mapeada a casos reales que vemos en clientes— ayuda a clasificar un sistema sin requerir lectura de las 80+ páginas del proyecto.
| Nivel | Características | Ejemplos típicos en PyME chilena |
|---|---|---|
| Inaceptable | Manipulación subliminal, social scoring gubernamental, categorización biométrica de personas en espacios públicos sin base legal. | Bajo riesgo de aplicación voluntaria en PyME; revisar igualmente plataformas adquiridas. |
| Alto | Sistemas que afectan derechos fundamentales, acceso a servicios esenciales, evaluación de crédito, contratación, decisiones automatizadas sobre clientes. | Scoring crediticio, ranking de postulantes, pricing dinámico individualizado, agentes que niegan servicio sin supervisión humana, detección de fraude que bloquea cuentas. |
| Limitado | Sistemas que interactúan con personas (chatbots, agentes) y generación de contenido. Requieren transparencia. | Agente WhatsApp de atención al cliente, generador de respuestas a correos, asistente que sugiere texto a un humano. |
| Sin riesgo evidente | Filtros de spam, motores de búsqueda interna, automatización de procesos sin decisión sobre personas. | OCR de facturas, conciliación bancaria automatizada, búsqueda semántica de documentos internos sin exposición externa. |
La pregunta crítica de la Ley 21.719
Independiente del nivel de riesgo del sistema IA, si trata datos personales (incluso un correo en un prompt cuenta como tal), las obligaciones de la Ley 21.719 aplican. La matriz de arriba clasifica desde la perspectiva de la futura Ley IA; la decisión de aplicar la Ley 21.719 viene de una segunda pregunta: ¿el sistema procesa, almacena o transmite datos personales? Si la respuesta es sí, aplica.
Árbol de decisión rápida (uso propio)
Esta es la versión condensada que usamos en los diagnósticos iniciales con clientes. No reemplaza asesoría legal:
- ¿El sistema toma decisiones sobre personas que afectan derechos, acceso a servicios o condiciones contractuales? Si es sí, potencial alto riesgo: pasar a control humano y DPIA obligatoria.
- ¿El sistema interactúa directamente con personas naturales (clientes, postulantes, pacientes)? Si es sí, riesgo limitado: obligación de transparencia y supervisión.
- ¿El sistema procesa, almacena o transmite datos personales? Si es sí, Ley 21.719 aplica; controles de protección de datos exigibles.
- ¿El sistema podría amplificar sesgos o generar daño reputacional al uso indebido? Si es sí, controles internos voluntarios; no exigibles aún pero recomendables.
Los 12 controles mínimos que tu empresa necesita
Construidos a partir de la lectura cruzada del texto del proyecto IA, la Ley 21.719 y ISO/IEC 42001:2023, estándar internacional de sistemas de gestión de IA.
Gobernanza
- Comité de gobernanza de IA con representantes de TI, legal, operaciones y al menos un patrocinador del C-level.
- Designación formal de un Responsable de Protección de Datos (rol equivalente al DPO europeo). La Ley 21.719 lo exige en organismos públicos y privados que traten datos sensibles a gran escala.
- Política interna de uso de IA generativa publicada, comunicada y firmada por todo el staff que opere herramientas con IA.
Legal y contractual
- Cláusulas de protección de datos (DPA) revisadas con cada proveedor de IA: jurisdicción, retención, sub-procesadores, opt-out de entrenamiento.
- Registro de actividades de tratamiento actualizado, con base de licitud declarada (consentimiento, contrato, interés legítimo, obligación legal).
- Procedimiento documentado para atender derechos del titular (acceso, rectificación, oposición, oposición a decisiones automatizadas) en plazos de la Ley 21.719.
Técnico-operativo
- Logging y trazabilidad de inputs/outputs en sistemas de alto riesgo. Sin logs, no hay auditoría posible.
- Mecanismo de supervisión humana documentado para todas las decisiones automatizadas sobre personas.
- Procedimiento de gestión de incidentes y notificación de brechas en 72 horas (estándar internacional aplicado por la nueva Agencia).
Personas y cultura
- AI literacy básica para todo el staff que use IA generativa (mínimo 2 horas, anualmente). El EU AI Act lo exige desde febrero de 2025.
- Capacitación específica para áreas que operan sistemas de alto riesgo (RRHH, finanzas, riesgo, atención al cliente).
- Canal interno de reporte de incidentes IA (alucinación pública, sesgo detectado, fuga de datos), independiente del canal de reclamos del cliente.
Las trampas comunes que vemos en proyectos reales
"Mi consultora dice que estamos cubiertos con la Ley 19.628"
Falso. La Ley 19.628 (1999) es claramente insuficiente para un escenario de IA generativa con transferencias internacionales, sub-procesadores y decisiones automatizadas. La Ley 21.719 introduce derechos, sanciones y una Agencia con potestades que la 19.628 no tiene. Asumir cobertura es ignorar 25 años de evolución regulatoria.
"Copilot de Microsoft ya es enterprise, no necesito hacer nada"
Microsoft cumple con su parte del modelo de responsabilidad compartida. La empresa sigue siendo responsable de los datos personales que le entrega al sistema (lo que el usuario pega en un prompt) y de las decisiones que toma con los outputs. El contrato enterprise reduce el riesgo de fuga al training set; no anula las obligaciones de la Ley 21.719.
"Soy PyME, esto es para grandes"
La Ley 21.719 no establece umbral de tamaño. El proyecto IA tampoco exime a PyMEs. Lo que sí existe son regímenes proporcionados al tamaño y riesgo, pero "proporcionado" no es "exento".
"No usamos IA todavía"
Probablemente sí, sin saberlo. Shadow IT (empleados usando ChatGPT personal con datos corporativos), SaaS con IA embebida (Slack AI, Notion AI, HubSpot AI, Microsoft 365 Copilot, Google Workspace Gemini), antifraude del banco, motor de recomendación del e-commerce. El inventario del día 1-7 casi siempre sorprende.
Comparativa rápida: Chile vs UE vs México vs Colombia
Para empresas que operan en varios países LATAM, un programa de cumplimiento alineado al modelo europeo cubre Chile, México y Colombia con ajustes locales menores. Construir para Chile con vistas LATAM es eficiente.
| Dimensión | Chile | UE | México | Colombia |
|---|---|---|---|---|
| Estándar datos personales | Ley 21.719 vigente 1-dic-2026 | GDPR vigente desde 2018 | LFPDPPP en modernización | Ley 1581 vigente, alineamiento progresivo |
| Ley IA específica | Proyecto Senado 2026 | AI Act vigente 2026-2027 | Sin ley específica vigente | Política CONPES, sin ley vinculante |
| Multa máxima referencial | 20.000 UTM o 4 % ingresos | EUR 35 M o 7 % ingresos | UMA + criterios LFPDPPP | SMMLV variable |
| Enfoque IA | Basado en riesgo (modelo EU) | Basado en riesgo | Sectorial, ético no vinculante | Política pública |
| Autoridad | Agencia de Protección de Datos | Autoridades nacionales + EU AI Office | INAI | SIC |
Cómo Cognitiva apoya este recorrido
En Cognitiva hemos visto que el bloqueador número uno no es el conocimiento de la ley: es traducir la ley a una operación concreta sin frenar la adopción de IA que sí genera valor. Por eso trabajamos en tres frentes simultáneos: consultoría de gobernanza IA (diagnóstico, comité, política, capacitación), integraciones seguras (conexión de IA a sistemas legacy con DPA revisado, logging y retención configurada) y analytics + datos (trazabilidad de decisiones automatizadas para auditoría).
Si quieres una sesión de 30 minutos para revisar dónde está hoy tu empresa, agenda un diagnóstico o escríbenos por WhatsApp.
Aviso legal. Este artículo es de divulgación. No constituye asesoría legal. Para casos específicos, consulta a un abogado especializado en protección de datos y regulación tecnológica.
Plan de 90 días — Ley IA Chile + Ley 21.719
Tres fases de 30 días: diagnóstico y comité, política y controles, auditoría y readiness.
- Días 1-30
Diagnóstico y comité
Inventario completo, designación del Responsable de Protección de Datos, conformación del Comité de Gobernanza de IA y diagnóstico de brechas.
- Días 1-7: Levantar inventario IAEncuesta a áreas + revisión de licencias TI + detección de shadow IT.
- Días 8-15: Designar Responsable de Protección de DatosInterno o externo part-time. Comunicar al staff.
- Días 16-22: Constituir Comité de Gobernanza de IACharter, frecuencia mensual, agenda mínima.
- Días 23-30: Diagnóstico de brechasComparar inventario contra los 12 controles. Priorizar por riesgo y esfuerzo.
- Días 31-60
Política y controles
Publicar política de uso de IA generativa, revisar DPAs con proveedores y configurar controles técnicos (logging, retención, opt-out).
- Días 31-40: Redactar política de uso de IA generativaUsar plantilla Cognitiva. Aprobación del comité y del C-level.
- Días 41-50: Cláusulas contractuales con proveedoresActualizar DPAs. Activar opt-out de entrenamiento en planes enterprise.
- Días 51-60: Configurar controles técnicosLogging, retención, alertas DLP, restricciones de datos sensibles.
- Días 61-90
Auditoría, capacitación y readiness
AI literacy del staff, DPIA de los sistemas de alto riesgo y auditoría interna previa a la entrada en vigor.
- Días 61-70: AI literacy del staff2 horas obligatorias + capacitación específica para áreas de alto riesgo.
- Días 71-80: DPIA de los sistemas de alto riesgoDescripción, riesgos, mitigaciones, residuo, decisión. Archivar.
- Días 81-90: Auditoría interna y certificación de readinessRevisión cruzada + informe al directorio + go/no-go del comité.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.