¿Puedo usar IA (o ChatGPT) con datos de clientes?

Sí, pero no libremente. Ingresar datos personales de clientes en una herramienta de IA es un tratamiento bajo la Ley de Protección de Datos, y arrastra base de licitud, límites de finalidad, transferencias internacionales, reglas de datos sensibles y resguardos de decisiones automatizadas. La pregunta no es si la IA está permitida, sino bajo qué condiciones.

Esta página enmarca lo que la Ley de Protección de Datos exige antes de que una empresa alimente IA con datos personales: que esto es un tratamiento y necesita base, los puntos de control que activa la adopción, la línea entre un uso defendible y uno descuidado y cómo montarlo bajo un gobierno real. Cierra con las preguntas que hacen los equipos cuando una herramienta llega a su escritorio.

Usar IA con datos personales es tratar datos

El punto de partida es simple y suele saltarse: cambia la herramienta, no la categoría legal.

Ingresar el nombre, el contrato, el historial o cualquier dato identificatorio de un cliente en un sistema de IA es tratamiento de datos personales, y necesita una base de licitud antes de ocurrir: consentimiento (artículo 12) o una de las bases del artículo 13. Esa elección no se hace una vez para "la IA"; se hace para cada finalidad que sirven los datos. La decisión de consentimiento o interés legítimo aplica aquí por completo.

Resuelto eso, la adopción abre un conjunto de puntos de control que una política de privacidad general no suele cubrir.

Los puntos de control que activa la IA

Cuatro cuestiones concentran la mayor parte de la exposición. Cada una tiene su regla, y saltarse cualquiera es donde suelen empezar los problemas.

Datos sensibles

Consentimiento expreso

Los datos de salud, biométricos u otros sensibles no pueden ir sobre el interés legítimo: el artículo 16 exige el consentimiento expreso del titular, con excepciones acotadas. Mucho dato de clientes es más sensible de lo que parece a primera vista.

Transferencia internacional

El proveedor en el extranjero

Si la herramienta procesa datos en servidores fuera de Chile, se aplica el régimen de transferencias internacionales. Ver transferencias internacionales para cuándo procede y con qué resguardos.

Decisiones automatizadas

Intervención humana

El artículo 8 bis permite al titular oponerse a decisiones basadas únicamente en tratamiento automatizado que lo afecten significativamente, y exige transparencia, intervención humana y derecho a impugnar.

Alto riesgo

Evaluación de impacto

Los usos a gran escala, sensibles o de perfilamiento pueden exigir una evaluación de impacto previa. Ver evaluación de impacto para cuándo la ley la exige.

En conjunto, estos puntos de control separan un uso defendible de la IA de uno descuidado.

Uso defendible frente a uso descuidado

La misma herramienta puede ser perfectamente conforme o abiertamente ilícita según cómo lleguen los datos a ella.

Defendible

Una base de licitud elegida por finalidad, un contrato empresarial con el proveedor que limita el uso de los datos, resguardos de transferencia, una evaluación de riesgo documentada y revisión humana de las decisiones que afectan a personas. El uso está planificado, y se puede acreditar.

Descuidado

Un empleado pega registros de clientes en una herramienta pública de consumo, sin base, sin contrato, sin saber dónde se procesan los datos y sin registro de la decisión. Es rápido, invisible, y la fuente más común de una infracción con IA.

De la regla a la implementación

Hacerlo bien es una tarea de gobierno, no un permiso puntual. Vea implementar IA en la empresa y el marco de IA y empresa, y considere que una falla de datos seria con IA alcanza además el deber de cuidado del directorio.

¿Adoptando IA sin un plan de datos?

La distancia entre una ganancia de productividad y una infracción es la base de licitud, el contrato con el proveedor y la evaluación de riesgo. El diagnóstico de la Ley de Datos revisa el uso de IA que su empresa planea contra la Ley 21.719 y define las condiciones bajo las cuales resiste.

Solicitar un diagnóstico de la Ley de Datos

Preguntas frecuentes

¿Puedo pegar datos de clientes en ChatGPT u otra IA?

No sin una base que lo habilite. Ingresar datos personales de clientes en una herramienta de IA es un tratamiento de datos y necesita una base de licitud del artículo 12 o 13, una finalidad definida y, según el caso, resguardos adicionales. Pegar datos en una herramienta pública de consumo, sin contrato ni control sobre lo que ocurre con esa información, es la forma más común de incumplir.

¿Sirve el interés legítimo para entrenar o usar IA con datos?

Puede servir para algunos tratamientos, pero no es un cheque en blanco. La letra d) del artículo 13 exige que el tratamiento sea necesario para el interés legítimo y que no afecte los derechos del titular, con una ponderación documentada. Para datos sensibles no aplica: el artículo 16 exige consentimiento expreso. La elección de base debe hacerse tratamiento por tratamiento, no para "la IA" en abstracto.

¿Usar una IA extranjera es una transferencia internacional?

En la práctica, muchas veces sí. Si la herramienta procesa los datos en servidores fuera de Chile, se activa el régimen de transferencias internacionales de la ley, con sus resguardos. Es uno de los puntos que más se pasa por alto al adoptar herramientas de IA basadas en la nube.

¿Qué pasa si la IA toma decisiones sobre personas?

El artículo 8 bis reconoce al titular el derecho a oponerse y a no quedar sujeto a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o lo afecten significativamente. El responsable debe garantizar transparencia, intervención humana y la posibilidad de impugnar la decisión.

¿Cuándo necesito una evaluación de impacto?

Cuando el uso de IA implica un tratamiento que puede producir un alto riesgo para los derechos de los titulares, la ley exige una evaluación de impacto previa. El uso de datos a gran escala, de datos sensibles o de perfilamiento automatizado son escenarios típicos que la gatillan.

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.