Exponiendo a las empresas a sanciones: Uso de tecnologías con IA puede amenazar seriamente el cumplimiento de la Ley de Protección de Datos Personales
Se trata de uno de los problemas más complejos y menos abordados ante la inminente entrada en vigor de la Ley 21.719, especialmente cuando muchas empresas desconocen qué herramientas de IA se están utilizando internamente o con qué datos se están alimentando.
A contar diciembre de 2026, el 100% de las empresas en Chile –que son cerca de un millón y medio según datos de SII–, deberán cumplir con la normativa que regula la protección y el tratamiento de datos personales.
Esto plantea la necesidad de establecer una gobernanza y tratamiento de datos robustos y adecuados, especialmente en aquellas empresas que manejan grandes volúmenes de datos de clientes, con el fin de respetar los derechos de los titulares de los datos y evitar sanciones.
“Este cambio es un tremendo desafío operativo para el Delegado de Protección de Datos (DPO) y el Responsable de Tratamiento de Datos, y dentro de él, debe ser considerado el uso de la Inteligencia Artificial (IA) para no caer en incumplimientos”, advierte Cristián Ojeda, gerente General de Nubatech, consultora experta en soluciones para la economía digital.
El ejecutivo advierte que uno de los peligros es el uso no controlado de la IA, que realizan los colaboradores con el desconocimiento del área de TI y jefaturas. Por ejemplo, al utilizar agentes o aplicaciones para agilizar tareas tan sencillas como redactar correos o resumir un contrato, exponiendo los datos personales de los clientes.
“Aquí nos topamos con un obstáculo técnico y legal tremendo. Una vez que un modelo de IA ha aprendido de un conjunto de datos, sacar una información concreta es técnicamente dificilísimo, a veces imposible. Esto choca de frente con derechos fundamentales como el de supresión o el derecho al olvido. Si un cliente pide eliminar sus datos y estos ya entrenaron un modelo, ¿cómo garantizamos su derecho si no podemos hacer que el modelo lo olvide?”, plantea Cristián Ojeda.
Este riesgo también existe durante el proceso de desarrollo e implementación de tecnologías con IA dentro de la empresa, cuando los algoritmos se alimentan con datos sin un debido control que asegure su tratamiento, privacidad y consentimiento. “El objetivo es que la Ley de Protección de Datos no desaliente el avance e integración de las tecnologías con IA, sino que su uso cuente con una estrategia y herramientas necesarias para garantizar el cumplimiento normativo”, explica Ojeda, al mismo tiempo que entrega algunas recomendaciones para enfrentar este desafío.
El primer paso es hacer el “descubrimiento” de todas las aplicaciones y agentes que se están utilizando dentro de la organización. Una vez detectados, se debe definir una gobernanza que establezca claramente las aplicaciones autorizadas, los accesos, procesos de autorización, protocolos éticos y controles técnicos en torno a ellas.
El tercer paso es implementar soluciones tecnológicas para identificar, clasificar y sanitizar los datos antes que sean inyectados en los modelos que utilizan IA, asegurando que cada dato cumpla con los consentimientos o sean protegidos mediante procesos de encriptación o anonimización.
Ojeda también recomienda implementar "firewalls de datos", con capas de verificación o filtros inteligentes entre las fuentes de datos y los modelos de IA. “Estos firewalls solo permitirían el paso de la información justa y necesaria para el propósito específico, validando su legalidad automáticamente”, agrega.
Finalmente, para implementar políticas de gobernanza específicas para IA, con miras a la entrada en vigor de la Ley de Protección de Datos, recomienda a las empresas usar como guía la ISO 42001, que es un estándar internacional sobre gestión de sistemas de Inteligencia Artificial. “Tener un tratamiento normativo que cumpla con los más altos estándares vigentes, es esencial para mantener la confianza de los clientes sobre el tratamiento de sus datos personales frente a los interrogantes que puedan tener sobre el uso de IA”, concluye.
