Proyecto de Ley de IA en Chile: la lista de preparación para empresas mientras avanza en el Senado
El Boletín 16821-19 ya fue aprobado en la Cámara y avanza en el Senado con urgencia suma. Te entregamos el marco de preparación concreto para empresas: cómo clasificar el riesgo de tus sistemas, qué documentar hoy y cómo articular esto con la Ley 21.719, que ya es obligatoria.
El Proyecto de Ley de IA (Boletín 16821-19) ya fue aprobado por la Cámara de Diputados el 13 de octubre de 2025 y avanza en el Senado con urgencia suma desde enero de 2026. En Cognitiva, agencia chilena de IA, vemos que las empresas que despliegan sistemas de inteligencia artificial hoy serán evaluadas según el marco legal que esté vigente cuando se promulgue: adaptar después es más caro y complejo. Este artículo te entrega una lista de preparación concreta que puedes implementar ahora, antes de que la ley entre en vigor: qué documentación técnica mantener, cómo clasificar el nivel de riesgo de tus sistemas según el enfoque del proyecto, qué controles de supervisión humana aplicar y cómo articular todo esto con la Ley 21.719 de protección de datos personales, cuya vigencia plena comienza el 1 de diciembre de 2026. No es un análisis teórico: es una guía operativa para empresas que ya usan IA en Chile y quieren reducir su exposición regulatoria antes de que la ley llegue a exigirlo.
El estado de tramitación: qué dice el Boletín 16821-19
El Boletín 16821-19 nació el 7 de mayo de 2024 como un mensaje presidencial del Gobierno del Presidente Gabriel Boric, impulsado por el Ministerio de Ciencia, y se fusionó con la moción parlamentaria 15869-19 para avanzar como texto unificado. Luego de más de un año de tramitación en la Cámara de Diputados —que incluyó audiencias públicas con la industria, la academia y organizaciones de la sociedad civil—, el proyecto fue aprobado en particular el 13 de octubre de 2025. Desde esa fecha, el Ejecutivo ha calificado su urgencia en varias ocasiones, llegando a urgencia suma desde enero de 2026.
En el Senado, el proyecto es revisado por dos comisiones en paralelo: la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación, que analiza el fondo regulatorio del texto, y la Comisión de Hacienda, que evalúa su impacto en el gasto público. El texto puede sufrir modificaciones —el Senado tiene facultad plena para enmendar, agregar o suprimir disposiciones—, por lo que la versión final puede diferir del texto aprobado por la Cámara. Aun así, el enfoque basado en riesgo y las obligaciones centrales —documentación técnica, gobernanza de datos y supervisión humana— han sido consistentes en todas las versiones parlamentarias del proyecto y difícilmente serán eliminados.
El proyecto propone asignar la fiscalización y la potestad sancionadora a la Agencia de Protección de Datos Personales (APDP), la misma entidad que aplicará la Ley 21.719 a partir del 1 de diciembre de 2026. Se contempla además la creación de un Consejo Asesor Técnico de IA, integrado por representantes del Estado, la academia, la industria y la sociedad civil, que propondrá los listados de sistemas de alto riesgo y orientará la política pública. Para las empresas, esto tiene una implicación práctica: el mismo regulador se ocupará de la protección de datos personales y de la inteligencia artificial, por lo que prepararse para uno equivale a adelantar trabajo para el otro.
Las cuatro categorías de riesgo que propone el proyecto
El proyecto adopta un modelo proporcional basado en el nivel de riesgo, dividido en cuatro categorías. La categoría de riesgo inaceptable concentra los sistemas prohibidos: aquellos que usan manipulación subliminal o técnicas que explotan vulnerabilidades de personas en situación de debilidad, sistemas de evaluación social de personas por entidades públicas (el llamado social scoring) e identificación biométrica remota en tiempo real en espacios de acceso público —salvo excepciones acotadas y expresamente reglamentadas. Ninguna empresa puede desarrollar, distribuir ni operar estos sistemas en Chile.
| Categoría | Descripción | Ejemplos de uso | Obligaciones principales |
|---|---|---|---|
| Riesgo inaceptable | Prohibidos por ley | Manipulación subliminal; identificación biométrica en tiempo real en espacios públicos; sistemas de puntuación social por entidades públicas | Prohibición total de desarrollo, distribución y uso |
| Alto riesgo | Obligaciones estrictas en todo el ciclo de vida | Evaluación crediticia; selección de personal; diagnóstico médico; gestión de infraestructura crítica; acceso a servicios públicos | Gestión de riesgos; gobernanza de datos; documentación técnica; registros; supervisión humana; ciberseguridad |
| Riesgo limitado | Obligaciones de transparencia | Chatbots; generadores de contenido; sistemas de recomendación de bajo impacto | Declarar al usuario que interactúa con un sistema de IA |
| Sin riesgo evidente | Mínimas obligaciones | IA recreativa; filtros de correo no deseado; herramientas de productividad personal | Buenas prácticas generales |
Para las empresas chilenas, el foco está en la categoría de alto riesgo. Los sistemas de probable alto riesgo incluyen motores de evaluación crediticia, herramientas de selección de personal, sistemas de apoyo al diagnóstico en salud, gestión de infraestructura crítica con decisión automatizada y cualquier aplicación que determine el acceso a servicios públicos o beneficios sociales. Para estos sistemas, el proyecto exige controles durante todo su ciclo de vida: un sistema de gestión de riesgos, gobernanza y calidad de los datos de entrenamiento, documentación técnica detallada, registros de actividad, niveles adecuados de precisión y robustez, y supervisión humana significativa. No es burocracia adicional: es demostrar que el sistema funciona como se declara y que quien lo opera puede intervenir cuando falla.
Lista de preparación: el Marco Cognitiva para sistemas de IA
Aunque la ley no está vigente, prepararse hoy reduce costos y riesgos futuros. Un sistema diseñado sin controles desde el inicio es más caro de ajustar cuando la ley llegue que uno construido con gobernanza desde el primer día. El Marco de Preparación Cognitiva para sistemas de IA organiza los cinco bloques de acción prioritarios para empresas chilenas que despliegan inteligencia artificial antes de la promulgación del Boletín 16821-19. No reemplaza asesoría legal: es el trabajo técnico y operativo que debes tener listo antes de llegar a esa conversación.
- Inventario de sistemas de IA: Levanta un registro de todos los sistemas que usan IA en tu organización: qué hacen, qué datos procesan, quiénes son los responsables técnicos, con qué frecuencia se actualizan y qué decisiones toman o apoyan. Sin inventario no hay clasificación posible ni base sobre la que documentar.
- Clasificación de riesgo preliminar: Aplica las cuatro categorías del proyecto a cada sistema inventariado. Pregunta: ¿el sistema toma decisiones que afectan derechos de personas? ¿Procesa datos sensibles? ¿Opera en sectores de infraestructura crítica, salud, crédito o empleo? Una respuesta afirmativa ubica el sistema en probable alto riesgo y activa los bloques siguientes.
- Documentación técnica básica: Para cada sistema de probable alto riesgo, documenta el propósito y alcance, los datos de entrenamiento y su origen, las métricas de precisión actuales, los casos de fallo conocidos y las limitaciones declaradas. Esta documentación es también el insumo directo para las evaluaciones de impacto en privacidad (DPIA) que exige la Ley 21.719.
- Controles de supervisión humana: Define, para cada decisión automatizada relevante, si hay revisión humana, en qué etapa del proceso ocurre y quién la ejecuta. Documéntalo. La supervisión humana es el requisito que más diferencia a los sistemas de alto riesgo de los de riesgo limitado, y el regulador esperará ver que es real, no meramente formal.
- Registro de incidentes y desviaciones: Implementa un registro formal de fallos detectados, sesgos identificados y acciones correctivas adoptadas. En una fiscalización, este registro es la evidencia de que la organización actúa de manera responsable y dispone de mecanismos efectivos de mejora continua.
Articulación con la Ley 21.719: dos marcos, una sola preparación
La Ley 21.719 de protección de datos personales es la obligación vigente más urgente para cualquier empresa que usa IA en Chile. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. A diferencia del proyecto de ley de IA, que aún está en tramitación, esta ley ya fue promulgada: su incumplimiento generará consecuencias legales reales a partir de esa fecha, con multas que pueden llegar hasta 20.000 UTM en los casos más graves o hasta el 4% de los ingresos anuales en caso de reincidencia.
El nexo entre ambos marcos es directo. La Ley 21.719 consagra el derecho de las personas a no ser sometidas a decisiones basadas únicamente en el tratamiento automatizado de sus datos —incluido el perfilamiento— cuando esas decisiones produzcan efectos jurídicos o las afecten de manera significativa. Eso cubre exactamente los sistemas que el proyecto de ley de IA clasifica como de alto riesgo: evaluación crediticia, selección de personal, acceso a servicios. Un sistema de IA de alto riesgo que procesa datos personales debe cumplir simultáneamente con ambos marcos normativos.
La preparación integrada reduce el trabajo total. Si hoy realizas una Evaluación de Impacto en Privacidad (DPIA) para un sistema de crédito con IA, estás documentando el propósito del sistema, los datos que procesa, los riesgos para las personas afectadas y las medidas de mitigación adoptadas. Esa misma documentación es la base de la documentación técnica que exige el proyecto de ley de IA para sistemas de alto riesgo. Las empresas que planifican ambas preparaciones por separado duplican el esfuerzo; las que las planifican de manera integrada, no.
Por dónde empezar si tu empresa usa IA hoy
Cualquier empresa que opera sistemas de IA en Chile —agentes de atención al cliente, motores de recomendación, herramientas de evaluación crediticia, sistemas de selección de personal o análisis de comportamiento— tiene razones concretas para actuar hoy. El primer paso no es contratar un abogado ni esperar la promulgación: es hacer el inventario interno, clasificar los sistemas por riesgo probable y comenzar a documentar los que caen en la categoría de alto riesgo.
El segundo paso es alinear los esfuerzos. Si ya tienes en marcha el proceso de cumplimiento de la Ley 21.719 —registro de actividades de tratamiento, DPIAs, designación de responsable de datos—, ese trabajo ya es la mitad de la preparación para la ley de IA. El responsable de protección de datos puede coordinar también la preparación de cumplimiento de IA, porque los controles que ambos marcos exigen se superponen en los sistemas de mayor riesgo.
El tercer paso es registrar desde ahora. Los incidentes que ocurran entre hoy y la promulgación de la ley son información valiosa: forman el historial que demostrará ante el regulador que la organización opera con responsabilidad. Un registro de fallos y acciones correctivas, iniciado hoy, tiene mucho más valor que uno iniciado el día en que la ley entre en vigor.
En Cognitiva, agencia chilena de IA, acompañamos a organizaciones a diagnosticar sus sistemas de inteligencia artificial, clasificar su nivel de riesgo regulatorio y diseñar los controles mínimos de cumplimiento desde el diseño. El trabajo de preparación regulatoria es parte natural de cómo construimos cada solución. Si tu empresa ya usa IA y quieres saber dónde estás parada ante el marco regulatorio que viene, el diagnóstico es el punto de partida.
El mejor momento para prepararse ante la regulación de IA en Chile fue cuando se diseñó el sistema. El segundo mejor momento es hoy.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.