Sistemas IA de alto riesgo en Chile: árbol de decisión para tu empresa
Árbol de decisión en 5 preguntas para clasificar tus sistemas de IA según los 4 niveles del Proyecto de Ley de IA chileno. Con casos por industria y obligaciones por nivel.
El Proyecto de Ley de Inteligencia Artificial chileno —en segundo trámite constitucional en el Senado durante 2026— sigue el modelo del EU AI Act: clasifica los sistemas en cuatro niveles de riesgo (inaceptable, alto, limitado, sin riesgo evidente) y gradúa las obligaciones según el nivel. Para una empresa chilena que ya usa IA generativa o agentes, la pregunta crítica es: ¿en qué nivel cae cada uno de mis sistemas? Este artículo entrega la matriz de clasificación que usamos en Cognitiva, el árbol de decisión rápida en cinco preguntas, casos ejemplares por industria y la lista de obligaciones que aplican a cada nivel. Es la pieza operacional que complementa la guía de 90 días para la Ley IA Chile y la Ley 21.719.
Los 4 niveles del proyecto chileno en 60 segundos
El proyecto unificado (boletines 16821-19 y 15869-19), aprobado por la Cámara de Diputados el 13 de octubre de 2025 y actualmente en el Senado, sigue una clasificación basada en riesgo similar al EU AI Act. Las obligaciones se gradúan: a mayor riesgo, mayor carga de documentación, transparencia y supervisión humana.
| Nivel | Característica esencial | Carga regulatoria |
|---|---|---|
| 1. Inaceptable | Prohibido por contravenir derechos fundamentales. | Suspender de inmediato. |
| 2. Alto riesgo | Afecta derechos, decisiones automatizadas, sectores críticos. | DPIA, supervisión humana, registro, documentación técnica. |
| 3. Limitado | Interactúa con personas o genera contenido. | Transparencia (informar que es IA), supervisión proporcional. |
| 4. Sin riesgo evidente | No afecta derechos ni interactúa significativamente con personas. | Inventariar y revisar periódicamente. |
Independiente del nivel, si el sistema procesa datos personales aplica la Ley 21.719 (vigente desde el 1 de diciembre de 2026). Es decir: un sistema puede ser "limitado" en la Ley de IA y aún así requerir todos los controles de protección de datos.
Nivel 1 — Inaceptable: qué evitar siempre
El primer nivel agrupa sistemas que el proyecto considera incompatibles con derechos fundamentales y, por tanto, prohíbe. La adopción voluntaria en PyMEs es muy improbable, pero conviene conocer la categoría porque algunos casos límite aparecen en plataformas adquiridas o en SaaS con IA embebida.
Tipos de sistema que entran en este nivel según la versión del proyecto:
- Manipulación subliminal o explotación de vulnerabilidades para causar daño.
- Social scoring gubernamental que clasifica personas para acceso a servicios.
- Categorización biométrica de personas en espacios públicos sin base legal específica.
- Identificación biométrica remota en tiempo real en espacios accesibles al público (con excepciones acotadas).
Acción operativa: revisar el inventario de sistemas IA (especialmente plataformas SaaS adquiridas) para confirmar que ninguno cae aquí. Si alguno sí, suspender de inmediato y escalar al Comité de Gobernanza.
Nivel 2 — Alto riesgo: la categoría que más obligaciones impone
Este es el nivel que concentra la carga regulatoria del proyecto. Engloba sistemas que afectan derechos fundamentales, acceso a servicios esenciales, o se aplican a sectores críticos.
Casos típicos en PyME y empresa mediana chilena:
- Scoring crediticio o calificación de seguros que decide acceso a productos.
- Sistemas de selección de personal que filtran, ordenan o evalúan postulantes.
- Pricing dinámico individualizado con efectos contractuales.
- Detección de fraude que bloquea cuentas o transacciones de forma automática.
- Triaje médico, evaluación de exámenes con efectos clínicos.
- Educación: evaluación automatizada de estudiantes con efectos académicos.
- Sistemas usados por proveedores de servicios esenciales (salud, banca, energía) que decidan sobre clientes.
Obligaciones operativas según el proyecto en discusión:
- Evaluación de impacto (DPIA) obligatoria antes de poner en producción y al menos anualmente.
- Documentación técnica completa (descripción, datos de entrenamiento si aplica, métricas, sesgos identificados, mitigaciones).
- Supervisión humana documentada en el flujo de decisión.
- Logging y trazabilidad completa de inputs y outputs.
- Capacitación específica para los operadores del sistema.
- Notificación al titular cuando aplique decisión automatizada y explicación de derechos.
- Registro del sistema cuando lo exija la Agencia y/o la Ley IA promulgada.
Nivel 3 — Limitado: transparencia y supervisión
Sistemas que interactúan con personas (chatbots, agentes) o que generan contenido susceptible de ser percibido como humano. La obligación central es transparencia: la persona debe saber que está interactuando con un sistema de IA.
Ejemplos típicos:
- Agente WhatsApp de atención al cliente.
- Generador de respuestas a correos antes de envío humano.
- Asistente que sugiere texto a un colaborador para que lo edite y firme.
- Generadores de imagen, audio o video con potencial de confusión sobre su origen.
Obligaciones operativas: informar al usuario que interactúa con IA, ofrecer un mecanismo accesible para solicitar intervención humana, supervisión humana proporcional al volumen y criticidad, logging básico para auditoría. DPIA recomendada si procesa datos sensibles aunque no obligatoria por nivel.
Nivel 4 — Sin riesgo evidente: inventariar y monitorear
Sistemas que no afectan derechos ni interactúan significativamente con personas externas. Las obligaciones son mínimas pero existen.
Ejemplos típicos:
- Filtros de spam.
- Motores de búsqueda interna sin exposición externa.
- OCR de facturas para conciliación interna.
- Automatización de procesos administrativos sin decisión sobre personas.
Obligaciones operativas: inventariar el sistema, revisar anualmente que su uso no se haya desplazado a otra categoría. Si procesa datos personales —incluso indirectamente— sí aplica la Ley 21.719.
Árbol de decisión rápida — 5 preguntas
Esta versión condensada del árbol Cognitiva permite clasificar un sistema en menos de 5 minutos. No reemplaza asesoría legal especializada para casos límite, pero sirve para el grueso del inventario.
- ¿El sistema cae en alguno de los usos prohibidos del Nivel 1 (manipulación subliminal, social scoring, biometría remota sin base legal)? Si sí → Inaceptable. Suspender. Si no, sigue.
- ¿El sistema toma o asiste decisiones sobre personas que afectan sus derechos, acceso a servicios o condiciones contractuales (crédito, contratación, salud, educación, pricing individualizado)? Si sí → Alto riesgo. DPIA + supervisión humana + registro. Si no, sigue.
- ¿El sistema interactúa directamente con personas naturales (clientes, postulantes, pacientes) o genera contenido susceptible de ser percibido como humano? Si sí → Limitado. Transparencia + supervisión proporcional. Si no, sigue.
- ¿El sistema procesa, almacena o transmite datos personales? Si sí → Nivel 4 + Ley 21.719 aplica. Inventariar y aplicar controles de protección de datos. Si no, sigue.
- ¿El sistema podría amplificar sesgos o generar daño reputacional por uso indebido? Si sí → Controles voluntarios recomendables. Si no → Nivel 4, monitoreo mínimo.
Aplicar el árbol a cada sistema del inventario y registrar el nivel asignado en la matriz Cognitiva (disponible como recurso descargable).
Casos ejemplares por industria
| Industria | Caso de uso | Nivel sugerido |
|---|---|---|
| Retail / E-commerce | Motor de recomendación de productos | Limitado |
| Retail / E-commerce | Pricing personalizado con efectos contractuales | Alto |
| Retail / E-commerce | Chatbot WhatsApp atención al cliente | Limitado |
| Banca / Fintech | Scoring crediticio | Alto |
| Banca / Fintech | Antifraude que bloquea automáticamente | Alto |
| Banca / Fintech | OCR de cheques para conciliación | Sin riesgo evidente (Ley 21.719 sí aplica) |
| Salud | Triaje automatizado de pacientes | Alto |
| Salud | Asistente de transcripción de consulta | Limitado (datos sensibles) |
| RRHH | Filtro automático de CVs | Alto |
| RRHH | Asistente de redacción de descripciones de cargo | Limitado |
| Educación | Evaluación adaptativa que asigna nota | Alto |
| Educación | Tutor IA sin notas formales | Limitado |
| Legal | Búsqueda semántica de jurisprudencia interna | Sin riesgo evidente |
| Legal | Sistema que decide aceptar o rechazar casos | Alto |
| Logística | Optimización de rutas | Sin riesgo evidente |
| Logística | Tracking automatizado a clientes vía WhatsApp | Limitado |
| Servicios profesionales | Asistente de redacción de propuestas | Sin riesgo evidente |
| Agroindustria | Predicción de cosecha por visión computacional | Sin riesgo evidente |
| Minería | Mantenimiento predictivo de equipos | Sin riesgo evidente |
| Minería | Sistema de seguridad que bloquea acceso a faena | Alto |
Clasificación referencial. El nivel final depende del uso real concreto y debe validarse caso a caso con el Comité de Gobernanza y, cuando aplique, con asesoría legal.
Qué hacer cuando descubres que tienes un sistema de alto riesgo
Encontrar un sistema en Nivel 2 no es motivo para suspenderlo. Es motivo para aplicar las obligaciones graduadas. Plan operativo en 4 pasos:
- Documentar el sistema (descripción técnica, datos, lógica de decisión, métricas) y archivar.
- Iniciar la DPIA: identificar riesgos para derechos del titular, medidas de mitigación, riesgo residual.
- Activar supervisión humana en la decisión: humano en el bucle de aprobación o derivación.
- Notificar al titular cuando se aplique la decisión y explicar derechos (acceso, oposición, revisión humana).
Las plantillas para cada paso están disponibles como recursos descargables vinculados a este artículo.
Árbol de decisión — clasificación de sistemas IA
Aplicar las 5 preguntas en orden para clasificar un sistema IA según los 4 niveles del Proyecto de Ley de IA chileno.
- Pregunta 1
Inaceptable
Verificar que el sistema no cae en los usos prohibidos del Nivel 1.
- Revisar lista de usos prohibidos del Proyecto IA chileno
- Si aplica: suspender de inmediato y escalar
- Pregunta 2
Alto riesgo
Determinar si el sistema toma o asiste decisiones sobre personas que afectan derechos.
- Identificar decisión central del sistema
- Si afecta derechos: aplicar obligaciones de Nivel 2 (DPIA, supervisión, registro)
- Pregunta 3
Limitado
Verificar interacción directa con personas o generación de contenido.
- Confirmar canal de interacción
- Si aplica: implementar transparencia y supervisión proporcional
- Preguntas 4-5
Sin riesgo evidente + Ley 21.719
Identificar tratamiento de datos personales y riesgos secundarios.
- Si procesa datos personales: aplicar controles Ley 21.719
- Si amplifica sesgos: controles voluntarios recomendables
- Inventariar y revisar anualmente
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.