Implementar inteligencia artificial en la empresa
Marco contractual, evaluación de impacto y arquitectura técnica bajo la Ley 21.719. Estudio de caso aplicado al uso de Claude y ChatGPT en organizaciones chilenas.
El escenario operativo
Un colaborador abre un asistente de inteligencia artificial y pega el correo de un cliente, un balance interno o un historial clínico. La acción toma segundos. El tratamiento de datos que acaba de iniciar, en cambio, gatilla obligaciones bajo la Ley 21.719 que la empresa no necesariamente ha analizado: base de licitud, contrato con el encargado del tratamiento, transferencia internacional, evaluación de impacto, deber de información al titular. La pregunta operativa no es si conviene usar inteligencia artificial dentro de la organización, sino bajo qué condiciones contractuales, técnicas y de gobernanza la empresa puede hacerlo sin quedar expuesta a las sanciones del Título VIII.
Cinco frentes de exposición
Cada interacción con un asistente de inteligencia artificial gatilla, en paralelo, cinco obligaciones distintas de la Ley 21.719. La empresa que omite uno solo de estos frentes incumple, aunque tenga resueltos los demás.
Base de licitud (artículo 12)
- Identificar la base habilitante del tratamiento antes de iniciarlo.
- Consentimiento, ejecución contractual, interés legítimo u obligación legal.
- Documentar la decisión en el registro de actividades de tratamiento.
Encargado del tratamiento (artículos 15 y siguientes)
- Contrato escrito con el proveedor de inteligencia artificial.
- Finalidad, duración, medidas técnicas y subencargados regulados.
- Sin DPA o instrumento equivalente, el responsable infringe el artículo 15.
Transferencia internacional (Título VII)
- La mayoría de los proveedores está domiciliada fuera de Chile.
- Verificar nivel adecuado de protección o cláusulas tipo aprobadas.
- Documentar la garantía aplicada para cada flujo de datos.
Evaluación de impacto, EIPD (artículo 15 quinquies)
- Obligatoria cuando el tratamiento implica perfilamiento o alto riesgo.
- El uso sistemático de inteligencia artificial sobre datos personales suele encajar.
- Realizar la EIPD antes de iniciar el tratamiento, no después.
Deber de información (artículo 14 ter)
- Informar al titular sobre el uso de inteligencia artificial.
- Indicar finalidad, lógica involucrada y consecuencias previsibles.
- Actualizar políticas de privacidad y avisos a las personas trabajadoras.
El mismo proveedor, dos posiciones de cumplimiento
La diferencia entre cumplir y no cumplir depende del tier contratado, no del proveedor. Una misma marca puede ofrecer un servicio defendible bajo la Ley 21.719 y otro inviable, en paralelo.
| Tier del producto | Instrumento contractual | Entrenamiento con datos del cliente | Posición bajo Ley 21.719 |
|---|---|---|---|
| ChatGPT Free / Plus | Términos de consumidor | Opt-out manual, no contractual | Insuficiente |
| ChatGPT Enterprise / Team | DPA disponible | Contractualmente prohibido | Defendible |
| Claude.ai Free / Pro / Max | Términos de consumidor | Opt-out manual, no contractual | Insuficiente |
| Claude API (Console / Build / Scale) | Términos comerciales API | Contractualmente prohibido por defecto | Defendible |
| Claude for Work / Enterprise | DPA + condiciones empresariales | Contractualmente prohibido | Defendible |
Las cláusulas comerciales de la API de Claude indican: Anthropic may not train models on Customer Content from Services. Esa restricción no aplica a los planes de consumidor.
Caso trabajado: desplegar Claude en una empresa de seguros
Hipótesis: una empresa de seguros con 400 colaboradores quiere habilitar Claude para análisis de correos, resúmenes de pólizas y borradores de comunicaciones. El despliegue tratará datos personales y, eventualmente, datos sensibles de salud.
Mapeo de datos y flujos
Antes de cualquier decisión contractual, identificar qué datos personales saldrán de los sistemas de la empresa, hacia dónde, con qué finalidad y bajo qué base de licitud.
Elementos clave
- Inventario de fuentes: CRM, correo corporativo, sistema de pólizas.
- Categorías: datos identificatorios, financieros, datos sensibles de salud.
- Registro de actividades de tratamiento actualizado conforme al artículo 19.
Selección de tier y firma de instrumentos
Descartar el tier de consumidor. Contratar Claude API o Claude for Work. Firmar el DPA. Negociar adenda específica para datos sensibles cuando aplique.
Elementos clave
- Tier defendible: API o Enterprise, nunca cuenta personal.
- DPA vigente antes de iniciar el tratamiento.
- Anexo de seguridad y subencargados verificado.
Evaluación de impacto y consulta previa
Completar la EIPD bajo el artículo 15 quinquies. Identificar riesgos residuales. Si subsisten riesgos altos sin medidas suficientes, corresponde la consulta previa a la Agencia de Protección de Datos Personales.
Elementos clave
- Descripción sistemática del tratamiento y sus finalidades.
- Evaluación de necesidad, proporcionalidad y riesgos.
- Medidas de mitigación: seudonimización, control de acceso, retención mínima.
Gobierno, política interna y monitoreo
Política de uso aprobada por el directorio. Capacitación obligatoria. Mecanismos de monitoreo para detectar usos prohibidos. Revisión periódica de proveedor y arquitectura.
Elementos clave
- Política con datos autorizados y datos prohibidos por nivel de sensibilidad.
- Registro de auditoría de interacciones para casos sensibles.
- Revisión anual con el delegado de protección de datos.
El triángulo contractual
Tres instrumentos delimitan la posición jurídica de la empresa frente al proveedor de inteligencia artificial. Ninguno reemplaza al otro.
Data Processing Addendum (DPA)
El instrumento exigido por el artículo 15 de la Ley 21.719 para configurar la relación responsable-encargado. Regula finalidad del tratamiento, duración, medidas técnicas y organizativas, subencargados, asistencia frente a derechos del titular y devolución o destrucción al término del servicio. Es el documento ausente más frecuente en empresas que ya tienen inteligencia artificial en producción.
Términos comerciales API
Cláusulas base del servicio. Definen propiedad de los datos, retención y restricciones sobre entrenamiento. Los términos comerciales API de Claude indican expresamente: Anthropic may not train models on Customer Content from Services. La cláusula aplica de manera uniforme a todos los clientes API y constituye un elemento contractualmente verificable, no una promesa de marketing.
Business Associate Agreement (BAA) bajo HIPAA
Instrumento específico para información médica protegida bajo HIPAA. No tiene equivalente directo bajo la Ley 21.719: funciona aquí como referencia, no como obligación local. A la fecha de publicación de este análisis, Anthropic no ha publicado un instrumento dedicado a la Ley 21.719, y la BAA HIPAA es el contrato más exigente que sí publica. Por esa razón sirve como simulacro razonable del estándar contractual que una empresa chilena debería exigir cuando trate datos sensibles en los términos del artículo 2° letra g) de la Ley 21.719: techos de uso por parte del proveedor, segregación de datos, controles de auditoría y eliminación verificable. Cubre Claude Enterprise (chat principal, Projects, Artifacts, Skills), la API Messages y Claude Code con Zero Data Retention activado; excluye Free, Pro, Max y Team. El paso operativo, mientras no exista un instrumento dedicado, es exigir al proveedor un DPA con anexos de seguridad reforzados que se aproximen al estándar de la BAA.
Evaluación de impacto aplicada
La EIPD del artículo 15 quinquies no es un trámite. Es el documento que demuestra que la empresa pensó el tratamiento antes de iniciarlo.
Descripción sistemática
Detallar el tratamiento, sus finalidades, los flujos de datos hacia el proveedor y la arquitectura técnica. Sin esta base, ningún juicio de necesidad ni de riesgo es defendible.
Necesidad y proporcionalidad
Justificar por qué la inteligencia artificial es la solución adecuada al fin perseguido y por qué no existe alternativa menos invasiva. En ese punto cae habitualmente el primer cuestionamiento de la autoridad.
Identificación de riesgos
Pérdida de confidencialidad, decisiones erróneas con efectos significativos, reidentificación de datos seudonimizados, dependencia de un proveedor extranjero, fugas vía colaboradores.
Medidas y riesgo residual
Documentar las medidas de mitigación, su efectividad y el riesgo residual. Cuando este último permanece alto, corresponde la consulta previa a la Agencia de Protección de Datos Personales.
Arquitectura y monitoreo
El contrato regula la relación. La arquitectura regula la realidad. Una empresa que firma el DPA y despliega el servicio en un tier sin controles de acceso ni registro queda expuesta de todas formas.
Aislamiento por tier comercial
Bloquear el uso de cuentas personales mediante políticas de identidad. Habilitar inicio de sesión federado con el directorio corporativo. Sin este control, el tier contratado pierde validez en la práctica.
Control de datos enviados
Filtros que detecten patrones sensibles antes del envío al proveedor. Listas de bloqueo de campos críticos. Revisión humana para casos definidos por la política interna.
Registro y auditoría
Bitácora de cada interacción que toque datos personales, con identificador del usuario, finalidad declarada y categoría de datos. Sin registro no hay evidencia ante una solicitud del titular ni ante fiscalización.
Residencia y transferencia
Configurar la región del proveedor donde sea posible. Documentar las garantías del Título VII aplicables a cada flujo. La residencia en una jurisdicción adecuada no elimina la transferencia, pero limita su alcance.
Niveles de madurez en cumplimiento
La capacidad de la organización para sostener el uso de inteligencia artificial bajo la Ley 21.719 evoluciona por etapas. Identificar el nivel actual es el primer paso para planificar el siguiente.
Uso no gobernado
Colaboradores con cuentas personales. Sin política. Sin contrato. Sin EIPD. Cada interacción es una infracción potencial al Título II. Es la posición más frecuente a junio de 2026 entre empresas que aún no han abordado la inteligencia artificial.
Política básica y bloqueo de tier de consumidor
Comunicación interna que prohíbe cuentas personales. Habilitación de un tier comercial único. Sin DPA firmado todavía. Reduce ruido, no resuelve el cumplimiento.
Marco contractual completo
DPA firmado. Términos comerciales revisados por el área legal. EIPD inicial completada. Política de uso aprobada. Capacitación obligatoria desplegada.
Arquitectura y monitoreo
Controles técnicos en producción: federación de identidad, filtros previos al envío, registro de interacciones. Revisión periódica con el delegado de protección de datos. Indicadores reportados al comité de auditoría.
Gobernanza de inteligencia artificial integrada
La inteligencia artificial forma parte del programa de cumplimiento y del gobierno corporativo. El directorio recibe reportes periódicos sobre uso, riesgos y casos. Cada nuevo despliegue pasa por evaluación previa. La empresa está en condiciones de responder ante fiscalización con un expediente coherente.
El cumplimiento no se contrata, se construye
Un proveedor con DPA, una arquitectura con controles y una organización con política son tres condiciones simultáneas. Quien tenga sólo una vive con riesgo. El plazo del 1 de diciembre de 2026 acelera la decisión, pero no la cambia: las obligaciones aplican desde el primer día en que un colaborador escribe datos personales en un asistente de inteligencia artificial.
Preguntas frecuentes
¿Es legal usar ChatGPT o Claude dentro de la empresa bajo la Ley 21.719?
Sí, siempre que el uso descanse en un tier comercial del proveedor, un contrato de encargado del tratamiento vigente, una arquitectura que permita registro y auditoría, y una política interna que limite finalidades y datos autorizados. El uso en tier de consumidor, con cuentas personales, no cumple los requisitos del Título II de la Ley 21.719.
¿Qué pasa si un colaborador usa una cuenta personal de ChatGPT o Claude para tareas del trabajo?
La Ley 21.719 atribuye el tratamiento a la empresa como responsable, no al colaborador. La empresa enfrenta el régimen sancionatorio del Título VIII por las cinco obligaciones del Título II que incumplió: base de licitud, contrato con encargado, transferencia internacional, evaluación de impacto y deber de información.
¿La cláusula de la API de Claude que prohíbe el entrenamiento equivale a un Data Processing Addendum?
No. Los términos comerciales API y el DPA son instrumentos distintos. Los términos comerciales regulan la prestación del servicio y la propiedad de los datos. El DPA configura específicamente la relación responsable-encargado del tratamiento exigida por los artículos 15 y siguientes de la Ley 21.719. Ambos deben estar vigentes.
¿Es obligatoria la EIPD para el uso interno de un asistente de inteligencia artificial?
Habitualmente sí. El uso sistemático sobre datos personales de empleados o clientes encaja en al menos uno de los supuestos del artículo 15 quinquies de la Ley 21.719: tratamiento masivo, perfilamiento con efectos significativos o uso de nuevas tecnologías de alto riesgo. La empresa debe completar la EIPD antes de iniciar el tratamiento.
¿Qué hago si el proveedor no publica un instrumento dedicado a la Ley 21.719?
Solicitar el Data Processing Addendum disponible para clientes comerciales y verificar que sus cláusulas cubran las obligaciones de los artículos 15 y siguientes. En el caso de proveedores estadounidenses, el contrato más exigente que sí publican suele ser el Business Associate Agreement (BAA) bajo HIPAA. Esa referencia funciona como simulacro razonable del estándar contractual que la empresa debe exigir bajo la Ley 21.719 para tratar datos sensibles del artículo 2° letra g), y orienta el contenido de los anexos de seguridad reforzados que el responsable negocia sobre el DPA.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.
