EU AI Act: obligaciones de alto riesgo
Entran en vigor las obligaciones aplicables a los sistemas de inteligencia artificial de alto riesgo bajo el Reglamento (UE) 2024/1689. Alcanza a exportadores chilenos y a filiales de matrices europeas.
Inicio / Áreas de Práctica /IA y Empresa
Inteligencia Artificial y Empresa: Implicancias Legales para Compañías Chilenas
El uso de inteligencia artificial en la empresa activa obligaciones bajo la Ley 21.719 de protección de datos personales, la Ley 21.663 marco de ciberseguridad y la Ley 21.595 de delitos económicos. A nivel internacional, el Reglamento (UE) 2024/1689 (EU AI Act) alcanza a exportadores chilenos y a filiales de matrices europeas, y el CLOUD Act estadounidense incide sobre los proveedores con sede en Estados Unidos. El proyecto de Ley de IA en Chile se tramita en el Senado con un enfoque basado en riesgo.
Caso aplicado: cómo implementar IA en su empresa bajo la Ley 21.719 →
Recurso informativo, no asesoría legal
Esta página reúne análisis general sobre las implicancias legales del uso de inteligencia artificial dentro de una empresa chilena. El contenido es educativo e ilustrativo, basado en la Ley 21.719, la Ley 21.663, la Ley 21.595 y normativa internacional aplicable, y no constituye asesoría legal sobre un caso particular. Cada implementación exige revisión específica de contratos, flujos de datos, evaluación de impacto y matriz de riesgo. Para una evaluación aplicada a su organización, contacte al estudio.
Qué cubre esta página
Marco regulatorio chileno
Ley 21.719 sobre protección de datos personales, Ley 21.663 marco de ciberseguridad, Ley 21.595 de delitos económicos y el proyecto de Ley de IA en tramitación.
Marco internacional aplicable
Reglamento (UE) 2024/1689 (EU AI Act) para exportadores chilenos y filiales de matrices europeas, además del CLOUD Act estadounidense en relación con proveedores de IA con sede en Estados Unidos.
Decisiones del directorio
Deber de cuidado y supervisión sobre el uso de inteligencia artificial, programa de cumplimiento, auditoría, evaluación de impacto y reporte al comité de auditoría.
Soporte operativo
Revisión de proveedores, evaluación de impacto en protección de datos, contratos con proveedores de IA, gestión de incidentes y trazabilidad.
Principios de gobernanza de IA
Cuatro estándares de gobernanza que estructuran el deber de cuidado del directorio frente al uso de inteligencia artificial dentro de la empresa.
Supervisión humana
Toda decisión con efecto jurídico o impacto significativo sobre las personas debe poder ser revisada por un funcionario competente, dentro de un plazo razonable y con acceso a los antecedentes que sustentaron el resultado del sistema.
Rendición de cuentas
El responsable del tratamiento responde frente al titular, frente a la autoridad y frente al directorio. Designar al responsable es un acto formal, no una atribución implícita.
Transparencia y explicabilidad
El titular tiene derecho a conocer la lógica del sistema, las categorías de datos involucradas y las consecuencias del tratamiento. La documentación interna debe permitir reproducir y auditar la decisión.
Mitigación de sesgos y discriminación
El programa de cumplimiento debe identificar sesgos por género, edad, origen y otras categorías protegidas, definir métricas de monitoreo y establecer un procedimiento de corrección documentado.
Seis frentes legales que conviven en una decisión de IA
Una sola implementación de inteligencia artificial activa obligaciones bajo varias normativas. Esta sección agrupa los seis frentes que conviven en la agenda del directorio chileno.
Gobernanza de IA y deberes del directorio
El directorio responde por el uso de inteligencia artificial dentro de la sociedad. Deber de cuidado, supervisión, política interna, designación de responsables y reporte a comités y auditoría externa.
Ver CorporativoDecisiones automatizadas y Ley 21.719
Derecho del titular a no quedar sujeto a decisiones únicamente automatizadas con efecto jurídico o significativo, derecho a explicación, perfilamiento, evaluación de impacto, designación de delegado y registro de actividades de tratamiento.
Ver Ley 21.719IA y ciberseguridad (Ley 21.663)
Operadores de importancia vital y servicios esenciales bajo el marco de ciberseguridad. Endurecimiento del modelo de amenazas cuando la organización utiliza inteligencia artificial: deepfakes, prompt injection, exfiltración por canal de modelo y dependencia de proveedores extranjeros.
Ver Ley 21.663IA y delitos informáticos (Ley 21.595)
La Ley 21.595 incorpora los delitos informáticos de la Ley 21.459 como delitos económicos de segunda categoría. El uso de IA como instrumento del delito, o como objeto de la conducta delictiva, exige actualizar el modelo de prevención de delitos.
Ver Ley 21.595Ética, transparencia y reporte
El uso de inteligencia artificial en marketing, recursos humanos, atención al cliente y comunicaciones corporativas plantea obligaciones de información al consumidor, prohibición de AI washing y reporte ante CMF y SERNAC cuando corresponda.
Ver ComplianceMarco internacional y soberanía: EU AI Act, CLOUD Act, proyecto Ley IA Chile
Las empresas chilenas que utilizan proveedores de IA con sede en Estados Unidos o que exportan a la Unión Europea quedan expuestas al Reglamento (UE) 2024/1689 y al CLOUD Act. El proyecto de Ley de IA en Chile avanza con enfoque basado en riesgo.
Ver Transferencias InternacionalesDerechos de los titulares frente a la IA
La Ley 21.719 reconoce derechos específicos cuando una decisión proviene total o parcialmente de un sistema automatizado. La empresa debe diseñar el flujo para honrarlos sin fricción.
Derecho a no quedar sujeto a decisiones automatizadas
El titular puede oponerse a quedar sujeto a una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos o lo afecte significativamente.
Derecho a explicación
El titular tiene derecho a recibir información significativa sobre la lógica aplicada, las categorías de datos involucradas y las consecuencias previstas del tratamiento.
Derecho a revisión humana
Cuando una decisión automatizada se mantiene, el titular puede solicitar la intervención de una persona competente, expresar su punto de vista e impugnar la decisión.
Derecho a oponerse al perfilamiento
El titular puede oponerse, en cualquier momento, al tratamiento de sus datos con fines de elaboración de perfiles, salvo causales legales que justifiquen continuar.
Calendario regulatorio
Tres relojes que las empresas chilenas deben sincronizar.
2 ago 2026
1 dic 2026
Ley 21.719: plena vigencia
La Ley 21.719 sobre protección de datos personales entra en plena vigencia. Quedan exigibles las obligaciones del responsable, los derechos del titular frente a decisiones automatizadas, la designación del delegado y la actuación de la Agencia de Protección de Datos Personales.
En tramitación
Proyecto de Ley de IA en Chile
El Senado discute un proyecto de ley con enfoque basado en riesgo, próximo al modelo europeo. Las empresas deberían iniciar el levantamiento de sistemas de IA y la clasificación por nivel de riesgo antes de su aprobación.
El costo regulatorio del uso de IA
Sanciones máximas declaradas por la normativa aplicable hoy a un uso de inteligencia artificial en la empresa.
20.000
UTM por infracción gravísima
Multa máxima bajo la Ley 21.719 sobre protección de datos personales para personas jurídicas (aproximadamente USD 1,55 millones a la UTM actual).
4%
De la facturación anual
Sanción agravada por reincidencia bajo la Ley 21.719 sobre protección de datos personales para empresas de mayor tamaño.
7%
De la facturación global
Sanción máxima bajo el Reglamento (UE) 2024/1689 (EU AI Act) por prácticas de IA prohibidas. Aplica a quienes operan en la Unión Europea.
5 años
De pena privativa
Pena máxima asociada a los delitos informáticos bajo la Ley 21.459, recogidos como delitos económicos de segunda categoría por la Ley 21.595.
Obligaciones, plazos y riesgos
El marco normativo aplicable al uso de inteligencia artificial en la empresa se estructura en obligaciones materiales del responsable, plazos legales acotados y riesgos sancionatorios bajo la Ley 21.719, la Ley 21.595, la Ley 21.663 y el Reglamento (UE) 2024/1689.
Obligaciones
- Levantar un inventario de los sistemas de inteligencia artificial en uso, incluyendo proveedores, datos involucrados y finalidades.
- Clasificar cada sistema por nivel de riesgo conforme al estándar del Reglamento (UE) 2024/1689 y al enfoque del proyecto chileno.
- Designar al responsable del tratamiento y, cuando corresponda, al delegado de protección de datos.
- Realizar evaluación de impacto en protección de datos para tratamientos con decisiones automatizadas.
- Documentar el proceso de revisión humana y los canales de impugnación del titular.
Plazos
- 2 de agosto de 2026: entrada en vigor de las obligaciones de alto riesgo del EU AI Act.
- 1 de diciembre de 2026: plena vigencia de la Ley 21.719.
- Antes de la aprobación del proyecto chileno: completar el levantamiento, la clasificación y la revisión contractual.
Riesgos
- Multas administrativas hasta 20.000 UTM bajo la Ley 21.719 y reincidencia agravada por la Agencia.
- Responsabilidad penal corporativa de la persona jurídica bajo la Ley 21.595 si un delito informático se comete en su beneficio.
- Bloqueo de productos por incumplimiento del EU AI Act en mercados europeos y exposición frente al CLOUD Act por proveedores con sede en Estados Unidos.
Preguntas frecuentes
¿Qué deberes tiene el directorio frente a la inteligencia artificial?
El directorio responde por el deber de cuidado y por la supervisión efectiva del uso de IA dentro de la sociedad. Esto se traduce en política interna, designación de responsables, evaluación de impacto, reporte al comité de auditoría y revisión periódica de los proveedores. La omisión puede generar responsabilidad civil, penal corporativa y administrativa.
¿Cómo afecta la Ley 21.719 a las decisiones automatizadas y al perfilamiento?
La Ley 21.719 reconoce el derecho del titular a no quedar sujeto a decisiones basadas únicamente en tratamientos automatizados con efectos jurídicos o significativos, así como el derecho a explicación, a revisión humana y a oponerse al perfilamiento. El responsable debe diseñar el flujo de la decisión para permitir el ejercicio de estos derechos sin fricción y debe documentarlo.
¿Qué exige la Ley 21.663 cuando una empresa usa inteligencia artificial?
Los operadores de importancia vital y los servicios esenciales quedan sujetos a obligaciones reforzadas de gestión de riesgos, reporte y continuidad. El uso de IA endurece el modelo de amenazas: deepfakes, prompt injection, exfiltración por canal de modelo y dependencia de proveedores extranjeros. El programa debe identificar estos vectores y definir controles compensatorios.
¿Cuándo se transforma un uso de IA en delito informático bajo la Ley 21.595?
La Ley 21.595, en su artículo 2 numeral 20, incorpora los delitos informáticos de la Ley 21.459 como delitos económicos de segunda categoría cuando se cometen en ejercicio de un cargo o en beneficio de la empresa. El uso de IA como instrumento de un delito informático activa el modelo de prevención de delitos del artículo 4 de la Ley 20.393. El directorio debe actualizar la matriz de riesgos.
¿Qué estándares de ética y transparencia debe aplicar una empresa al usar IA?
Las empresas chilenas deben informar al consumidor cuando una decisión proviene de un sistema automatizado, evitar afirmaciones publicitarias sin sustento sobre las capacidades del sistema (AI washing) y reportar ante la Comisión para el Mercado Financiero y el Servicio Nacional del Consumidor cuando la normativa sectorial lo exige. El estándar mínimo combina la Ley 21.719, la Ley del Consumidor y las normas de comunicación corporativa.
¿Qué normativa internacional debe conocer una empresa chilena que utiliza IA?
El Reglamento (UE) 2024/1689 (EU AI Act) alcanza a exportadores chilenos y a filiales de matrices europeas, con obligaciones reforzadas para sistemas de alto riesgo desde el 2 de agosto de 2026. El CLOUD Act estadounidense permite a las autoridades requerir información a proveedores de IA con sede en Estados Unidos, lo que genera tensiones con la Ley 21.719. El proyecto de Ley de IA en Chile avanza en el Senado con un enfoque basado en riesgo.
Lecturas relacionadas
Las áreas de práctica y los análisis regulatorios que se cruzan con la inteligencia artificial en la empresa.
Implementar IA en la empresa: estudio de caso
Marco contractual, evaluación de impacto y arquitectura técnica aplicados al despliegue de Claude y ChatGPT en una organización chilena.
Ley 21.719 sobre protección de datos personales
Derechos del titular, decisiones automatizadas y obligaciones del responsable del tratamiento.
Ley 21.595 sobre delitos económicos
Modelo de prevención de delitos y delitos informáticos como categoría económica de segunda categoría.
Ley 21.663 marco de ciberseguridad
Operadores de importancia vital, gestión de incidentes y reporte ante la ANCI.
Corporativo y gobierno societario
Deber de cuidado del directorio, gobernanza y reporte al comité de auditoría.
Venture Capital y startups
Cláusulas de IA en startups, due diligence técnica y propiedad intelectual del modelo.
Fusiones y Adquisiciones
Due diligence con IA, riesgos de proveedores y cláusulas de transición tecnológica.
Evaluación de impacto en protección de datos
Metodología del artículo 15 quinquies para tratamientos de alto riesgo, incluido el uso sistemático de inteligencia artificial.
Delegado de protección de datos (DPO)
Designación, funciones y régimen de independencia del delegado bajo la Ley 21.719, con foco en sistemas que tratan datos personales mediante IA.
Derechos del titular
Acceso, rectificación, supresión, oposición, portabilidad y el derecho a no quedar sujeto a decisiones únicamente automatizadas.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.
ContactoConocer al Equipo→
