Columna — IA: APDP, ANCI y la pregunta institucional del Senado

El proyecto español replica el modelo AEPD; el Boletín 16821-19 entrega la fiscalización de IA a la APDP. La APDP no opera; la ANCI sí. Tres rutas para el Senado, leídas desde la realidad chilena.

19 de junio de 2026
ANGUITAOSORIO

El Consejo de Ministros español remitió a las Cortes el Proyecto de Ley Orgánica de gobernanza de IA el 26 de mayo de 2026. El Boletín 16821-19 chileno prosigue en la Comisión de Desafíos del Futuro del Senado. La pregunta institucional que el Senado debe contestar no es de qué velocidad ir, sino qué autoridad asume la fiscalización de IA: la APDP en formación, una agencia nueva o la ANCI ampliada, en línea con la tradición de consolidación regulatoria que representa la CMF.

Columna — IA: APDP, ANCI y la pregunta institucional del Senado

Las opiniones expresadas en esta columna pertenecen a sus autores y no constituyen asesoría legal sobre un caso particular. Las opiniones son del estudio, no de un autor individual. Contribuyen a este análisis Eduardo Anguita Osorio, María Victoria Smith y Ángel Anguita Osorio.

Dos textos en mesa y una pregunta institucional

El Consejo de Ministros español aprobó el 26 de mayo de 2026 la remisión a las Cortes del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. El texto se publicó en el Boletín Oficial de las Cortes Generales el 12 de junio (BOCG-15-A-97-1) y abrió un plazo de enmiendas que cierra el 30 de junio en la Comisión de Economía, Comercio y Transformación Digital del Congreso. En el mismo periodo, el Boletín 16821-19 chileno, ingresado por el Ejecutivo en mayo de 2024 y aprobado por la Cámara de Diputados, prosigue su segundo trámite ante la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado, con audiencias técnicas en curso durante 2026.

Ambos textos comparten esqueleto: cuatro niveles de riesgo inspirados en el Reglamento (UE) 2024/1689, conocido como AI Act; una autoridad nacional designada; un régimen sancionador propio. Ahora bien, las elecciones institucionales del proyecto español presuponen una arquitectura que Chile no tiene. España entrega la vigilancia de mercado a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA); la fiscalización de sistemas con datos personales a la Agencia Española de Protección de Datos (AEPD); la fiscalización en justicia al Consejo General del Poder Judicial (CGPJ). El Boletín 16821-19 replica el centro de ese esquema: deja la fiscalización en la Agencia de Protección de Datos Personales (APDP) creada por la Ley N° 21.719. La pregunta editorial es si esa réplica resuelve un problema chileno o si traduce una solución diseñada para un contexto distinto.

Tres rutas para el Senado, y por qué la elección no es trivial

El Senado tiene tres caminos verosímiles para anclar la fiscalización de IA en Chile: mantener la APDP como propone el Boletín 16821-19, crear una agencia nueva diseñada con lo aprendido del comparado, o ampliar la ANCI. Conviene leer cada uno con el estado real de la institucionalidad nacional, no con el manual europeo.

La APDP, creada por la Ley N° 21.719, no opera. El Senado rechazó el 20 de mayo de 2026 la terna del Ejecutivo, con 19 votos a favor y 12 en contra, sin alcanzar el quórum de dos tercios exigido. La Comisión Asesora presidida por Romina Garrido calificó el presupuesto asignado como "claramente insuficiente" y propuso una dotación mínima de cincuenta funcionarios y un primer presupuesto cercano a los CLP 4.178 millones, frente a los CLP 1.721 millones efectivamente asignados. La Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026, y la APDP llegaría a esa fecha sin Consejo Directivo designado, sin presupuesto operativo suficiente y sin reglamentos dictados. Cargar sobre esa estructura, además, la fiscalización de IA implica pedir a una autoridad por instalarse que asuma una función técnica nueva sin la base operativa para hacerlo.

La segunda ruta es crear una agencia nueva, recogiendo lo aprendido del comparado internacional. Esa opción tiene mérito si el legislador concluye que ni la APDP ni la ANCI están preparadas para asumir la fiscalización de IA. Su costo es real: instalar una agencia desde cero exige presupuesto, dotación y reglamentación, y suma una entidad más a un mapa regulatorio chileno que ha tendido históricamente a consolidar antes que a proliferar.

La tercera ruta es ampliar la ANCI, creada por la Ley N° 21.663 Marco de Ciberseguridad, promulgada en 2024. La ANCI opera, ha designado operadores de importancia vital (OIV) bajo las Resoluciones 50/2025, 85/2026 y 076/2025, mantiene relación funcionante con los CSIRT, los reguladores sectoriales y los ministerios, y ha demostrado capacidad de dictar normativa técnica. Esta ruta presenta tres ventajas concretas para Chile.

En primer lugar, la realidad institucional. La ANCI existe, fiscaliza y dispone de un equipo técnico operativo, mientras la APDP aún se está instalando. Anclar la fiscalización de IA en una autoridad funcional reduce el riesgo de una vigencia normativa sin aplicación efectiva, escenario en que la regla está pero no hay quien la haga cumplir.

En segundo lugar, la tradición regulatoria chilena de consolidación. La Comisión para el Mercado Financiero (CMF) consolidó en una sola autoridad lo que antes hacían la Superintendencia de Bancos e Instituciones Financieras, la Superintendencia de Valores y Seguros y, a partir de la Ley N° 21.521 (Fintech), la supervisión de los nuevos prestadores de servicios financieros. Esa lógica produjo una autoridad con masa crítica técnica y poder fiscalizador real, en lugar de varias superintendencias pequeñas en competencia administrativa. La misma racionalidad vale para ciberseguridad y para IA, dos dominios técnicamente convergentes que no se entienden bien por separado.

En tercer lugar, la convergencia técnica. Los sistemas de IA son sistemas de información, y los riesgos que activan se cruzan con los de ciberseguridad: integridad del modelo, seguridad de la inferencia, robustez frente a ataques adversariales, trazabilidad y auditoría del sistema en producción. Una autoridad que ya fiscaliza la seguridad de sistemas críticos está mejor preparada para entender el sistema de IA, y no solo el dato que el sistema procesa.

Esto no significa entregarle todo a la ANCI. La fiscalización de datos personales seguirá siendo competencia de la APDP cuando se instale, y la fiscalización sectorial mantendrá su lugar en la CMF, la Superintendencia de Salud, la Comisión Nacional de Energía y otros reguladores. Significa que la coordinación de fiscalización de IA, hoy, queda mejor anclada en una autoridad técnica operativa que en una autoridad por instalarse.

Cinco preguntas de diseño en clave chilena

Identificada la pregunta institucional central, conviene revisar las cuatro decisiones restantes del proyecto español con la misma lógica: no qué hizo España, sino qué cabe en la arquitectura chilena.

En primer lugar, el régimen sancionador. España alineó las multas con el techo del AI Act: hasta 35 millones de euros o el 7% de la facturación mundial para prácticas prohibidas; 15 millones o el 3% para infracciones graves; 7,5 millones o el 1% para menos graves; y 500 mil euros o el 0,5% para leves. El Boletín 16821-19 propone multas que pueden escalar hasta 20.000 UTM por infracciones gravísimas. Para proveedores de IA con casa matriz fuera de Chile, un porcentaje de facturación mundial suele tener mayor efecto disuasivo que un monto fijo en UTM, que tiende a diluirse en el ingreso global del grupo. Cabe recordar, por lo demás, que la propia Ley N° 21.719 ya admite, para reincidencia, multas equivalentes a un porcentaje de los ingresos anuales por ventas en Chile. El Senado podría ponderar si conviene introducir esa alternativa porcentual, ya conocida en el ordenamiento nacional.

En segundo lugar, el espacio controlado de pruebas, conocido como sandbox. España creó un sandbox nacional obligatorio operado por AESIA, con posibilidad de habilitar sandboxes sectoriales adicionales. El proyecto chileno menciona la experimentación regulatoria, pero sin una arquitectura institucional comparable. La pregunta concreta es quién lo opera en Chile: si la fiscalización queda en una ANCI ampliada, lo natural es que esa misma autoridad opere el sandbox; si queda en la APDP, habrá que esperar a su instalación. Las demás cuestiones operativas se siguen de esa primera definición: qué proyectos pueden postular, qué duración tiene la admisión y qué inmunidad regulatoria temporal se concede.

En tercer lugar, el inventario público de los sistemas de IA usados por el sector público. España obliga al sector público a inventariar y a hacer transparente el uso de sistemas de IA en procedimientos administrativos, con los campos concretos diferidos a real decreto, y crea, además, la figura del delegado de IA dentro de la administración. Chile ya cuenta con la Ley N° 20.285 sobre Acceso a la Información Pública y con una práctica activa de transparencia. Convendría que el Senado evaluara si conviene un campo específico en transparencia activa, lo que mantendría la fiscalización en el Consejo para la Transparencia, o un registro independiente anclado en la autoridad de IA.

En cuarto lugar, la ventanilla única de denuncia y la protección al denunciante. España crea una ventanilla única para infracciones del Reglamento, con protección al denunciante. Chile cuenta con la Ley N° 21.643 (Ley Karin) sobre denuncia laboral, con el sistema general de denuncia anónima de la Fiscalía para los delitos económicos y con el procedimiento de reclamo del Consejo para la Transparencia. La pregunta para el Senado es si la denuncia ante la autoridad fiscalizadora de IA requiere un canal especializado o si las vías existentes resultan suficientes.

Por último, la articulación con autoridades sectoriales. España incluye en su diseño autoridades sectoriales para productos regulados como máquinas, juguetes, dispositivos médicos y automoción. Chile tiene un mapa regulatorio activo: la CMF en banca, valores, seguros y fintech; la Superintendencia de Salud en prestadores y dispositivos; la Comisión Nacional de Energía en el sector eléctrico; el Instituto de Salud Pública (ISP) en dispositivos médicos y medicamentos. La coordinación entre la autoridad transversal de IA y esos reguladores merece quedar articulada dentro del propio texto, y no diferida a coordinación administrativa posterior.

Lo que sugiere el comparado y dónde se descarta el modelo sectorial

El espectro internacional es más amplio que España. Brasil sigue la misma ruta de agencia de datos como autoridad de IA: el PL 2338/23, postergado a 2026 tras impasses políticos, deja la fiscalización en la Autoridade Nacional de Proteção de Dados (ANPD). China consolidó la regulación de ciberseguridad, datos y sistemas de IA generativa bajo la Cyberspace Administration of China (CAC). Singapur, a través de la Infocomm Media Development Authority (IMDA), consolidó telecomunicaciones, contenido, datos y, más recientemente, sistemas de IA bajo el Model AI Governance Framework. El Reino Unido y los Estados Unidos optaron por dispersión sectorial: CMA, ICO, FCA y MHRA en el primero; NIST, FTC, reguladores sectoriales e iniciativas estatales en el segundo.

Cada modelo refleja la institucionalidad de su país. Chile, dada su tradición de consolidación y el estado real de su APDP, está más cerca del modelo de consolidación tecnológica que de la dispersión sectorial. El modelo UK/US, en particular, descansa en agencias sectoriales con presupuesto, dotación y autonomía técnica que el aparato regulador chileno no replica con esa profundidad. Descartar la dispersión sectorial como ruta chilena no es una opinión arriesgada; es el reconocimiento de que la masa crítica regulatoria en Chile se ha construido históricamente vía consolidación.

Conviene tener presente, por lo demás, que tener un reglamento supranacional encima no garantiza implementación oportuna ni resultados uniformes. La Directiva (UE) 2022/2555, conocida como NIS2, fijó plazo de transposición al 17 de octubre de 2024. A junio de 2026, 20 meses después del vencimiento, 20 de los 27 Estados miembros han adoptado legislación nacional de transposición. Francia, Irlanda, Luxemburgo, Países Bajos y la propia España siguen en trámite parlamentario. La Comisión Europea abrió procedimientos de infracción contra 23 Estados miembros en noviembre de 2024, mediante cartas de emplazamiento, y elevó dictamen motivado contra 19 de ellos en mayo de 2025. La propia vicepresidenta ejecutiva responsable de Soberanía Tecnológica, Henna Virkkunen, reconoció en septiembre de 2025 la complejidad operativa de armonizar reportes bajo NIS2, el Reglamento General de Protección de Datos (RGPD) y la normativa DORA. Esto refuerza el punto central: importar el esquema europeo sin filtro no asegura su buen funcionamiento; conviene mirarlo, pero conviene también mirar la realidad chilena.

Lo exigible al directorio, al margen del Senado

Sin perjuicio del avance del Boletín 16821-19 y de la elección institucional que el Senado adopte, los deberes materiales que un sistema de IA activa en Chile siguen rigiéndose por las leyes vigentes y por el alcance extraterritorial del AI Act.

La Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026 con deberes que un proveedor tecnológico no extingue por la sola firma del contrato: registro de actividades de tratamiento, evaluación de impacto en protección de datos para tratamientos automatizados y de alto riesgo, designación de delegado de protección de datos (DPO) en los casos exigidos, derecho del titular a no quedar sujeto a decisiones únicamente automatizadas con efecto jurídico o significativo, y régimen sancionador que puede escalar hasta 20.000 UTM con reincidencia agravada.

La Ley N° 21.663, por su parte, impone deberes a los OIV: clasificación de criticidad, plan de gestión de incidentes, reporte de ciberincidentes a la ANCI dentro de plazos breves y gobernanza de ciberseguridad con responsabilidades documentadas en el directorio.

La Ley N° 21.595, en tanto, incorpora los delitos informáticos como delitos económicos de segunda categoría. Si un delito informático se comete en beneficio de la persona jurídica y el modelo de prevención falla en su diseño o funcionamiento, la persona jurídica responde penalmente.

El AI Act, a su vez, alcanza a empresas chilenas que exporten sistemas de IA a la Unión Europea, a filiales chilenas de matrices europeas y a empresas que coloquen en la Unión productos cuyo resultado se use en territorio europeo. Por lo demás, para servicios de DNS, infraestructura de nube, centro de datos, mercado en línea, motor de búsqueda o red social, NIS2 exige designar representante en el Estado miembro de establecimiento principal aunque la transposición nacional siga pendiente, por aplicación directa de su artículo 26.

Algunas consideraciones finales

La decisión institucional que el Senado debe adoptar no admite una respuesta importada. España resolvió a favor de su agencia de datos, en un país donde esa agencia tiene tres décadas de experiencia consolidada. Brasil avanza por el mismo camino. China y Singapur consolidaron en autoridades de tecnología y comunicaciones que ya operaban. Cada elección refleja una arquitectura nacional. La elección chilena tiene que reconocer, con honestidad, que la APDP creada por la Ley N° 21.719 todavía no se instala y que la ANCI sí dispone de capacidad operativa, masa técnica y poder fiscalizador. La tradición chilena de consolidación regulatoria que representa la CMF sugiere que ampliar la ANCI merece una consideración seria, sin que ello descarte la opción de una agencia nueva diseñada para la tarea, recogiendo lo aprendido del comparado.

Mientras el Senado decide, el directorio difícilmente puede aguardar el desenlace. La Ley N° 21.663 ya fiscaliza, la Ley N° 21.719 entra en vigencia el 1 de diciembre y el AI Act ya alcanza a exportadores chilenos. De ahí que convenga instalar una gobernanza específica sobre el uso de IA dentro de la empresa, sin postergar la decisión. Esa gobernanza supone que el directorio apruebe una política de uso de IA, defina criterios de selección de proveedor por sensibilidad del dato, designe un responsable interno con mandato transversal sobre legal, tecnología y seguridad, y exija reporte periódico sobre los sistemas en producción. Instalada en el directorio, esa gobernanza suele marcar la diferencia entre una empresa expuesta y una empresa defendible frente a la Agencia, frente a la ANCI, frente al propio directorio y frente al titular del dato.

Análisis ampliado del marco regulatorio en IA y Empresa y estudio de caso aplicado al uso de Claude y ChatGPT en Implementar IA en la Empresa. Análisis de la Ley N° 21.663 Marco de Ciberseguridad en Ley de Ciberseguridad y del estado de los operadores de importancia vital en OIV. Para una revisión aplicada a su organización, contacte al estudio.

Mantente al día con análisis legales

Recibe los últimos análisis legales y actualizaciones regulatorias en tu bandeja de entrada.

Artículos relacionados

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.