Regulación de la inteligencia artificial en Chile: el proyecto de ley, el enfoque basado en riesgos y qué deben hacer las empresas y estudios jurídicos
Chile avanza hacia su primera ley de inteligencia artificial con un enfoque basado en riesgos inspirado en el AI Act europeo. Explicamos las categorías de riesgo, las obligaciones para empresas y estudios jurídicos, y cómo prepararse desde ya.
Chile entra en la era de la IA regulada
Durante años, la inteligencia artificial se usó en Chile dentro de un vacío normativo específico: no había una ley que dijera qué se puede y qué no se puede hacer con estos sistemas. Las empresas y los estudios jurídicos operaban con normas generales —protección de datos, consumo, normas sectoriales— y con sentido común.
Eso está cambiando. En 2026 Chile tramita su primer proyecto de ley sobre inteligencia artificial, y lo hace siguiendo la tendencia global: un enfoque basado en riesgos, inspirado en el Reglamento de IA de la Unión Europea (el conocido AI Act) y en las recomendaciones de la OCDE. La pregunta para abogados, gerentes de cumplimiento y empresas ya no es si habrá regulación, sino cómo prepararse para ella.
Este artículo explica, en lenguaje accesible, qué propone la regulación chilena de IA, cómo se conecta con la Ley 21.719 de protección de datos personales y qué pasos concretos conviene dar hoy, antes de que la ley entre en vigor.
Nota: a la fecha de publicación el proyecto está en tramitación legislativa. El texto definitivo puede cambiar. Este artículo describe el enfoque y las tendencias; no constituye asesoría legal sobre un texto aprobado.
De dónde viene: la Política Nacional de IA
Chile no parte de cero. Desde 2021 cuenta con una Política Nacional de Inteligencia Artificial, actualizada posteriormente, que fijó principios orientadores: IA centrada en el bienestar de las personas, IA para el desarrollo sostenible, e IA ética, segura y robusta.
Esa política era una hoja de ruta, no una ley. Establecía objetivos —formación de talento, infraestructura de datos, adopción responsable— pero no obligaciones exigibles. El proyecto de ley es el siguiente paso lógico: convertir esos principios en reglas con consecuencias jurídicas.
A esto se suma un contexto que empuja en la misma dirección: la Unión Europea aprobó el AI Act —primera regulación integral de IA del mundo, con aplicación escalonada—; la OCDE, de la que Chile es miembro, fijó principios de IA; la UNESCO adoptó una Recomendación sobre Ética de la IA suscrita por Chile; y en Latinoamérica Brasil, Perú y Colombia avanzan en sus propios marcos, con Brasil a la cabeza.
El corazón de la propuesta: clasificar por riesgo
El concepto central que conviene entender es el enfoque basado en riesgos. En lugar de regular toda la IA por igual, la norma gradúa las exigencias según el daño potencial que un sistema puede causar a los derechos de las personas. A grandes rasgos, se distinguen cuatro niveles.
1. Riesgo inaceptable (sistemas prohibidos)
Son usos considerados incompatibles con los derechos fundamentales y, por tanto, prohibidos. En la línea del modelo europeo, suelen incluirse:
- Técnicas de manipulación subliminal que distorsionen el comportamiento de las personas en su perjuicio.
- Sistemas que exploten vulnerabilidades de grupos específicos (edad, discapacidad, situación socioeconómica).
- Puntaje social (social scoring) generalizado por parte de organismos públicos.
- Ciertos usos de identificación biométrica masiva en espacios públicos.
2. Alto riesgo
Aquí está el grueso de la regulación. Son sistemas que, sin estar prohibidos, pueden afectar de forma significativa los derechos o la seguridad de las personas. Suelen considerarse de alto riesgo los sistemas usados en:
- Administración de justicia (apoyo a decisiones judiciales)
- Empleo (selección y evaluación de personal)
- Acceso a crédito y servicios financieros
- Salud (diagnóstico, priorización de atención)
- Educación (evaluación, admisión)
- Servicios públicos esenciales
Estos sistemas no se prohíben, pero quedan sujetos a obligaciones estrictas que veremos más abajo.
3. Riesgo limitado
Sistemas que interactúan con personas sin afectar derechos de forma grave, pero que requieren transparencia. El ejemplo clásico: un chatbot debe informar al usuario que está hablando con una IA, y los contenidos generados artificialmente (texto, imágenes, audio) deberían identificarse como tales.
4. Riesgo mínimo
La mayoría de los usos cotidianos —filtros de spam, recomendaciones, herramientas de productividad— caen aquí y no tienen obligaciones especiales más allá de las reglas generales.
Qué tendrán que hacer las empresas de alto riesgo
Para los sistemas de alto riesgo, el modelo basado en riesgos exige un conjunto de medidas de gobernanza. Aunque el texto chileno definitivo puede ajustarse durante su tramitación, las obligaciones esperables —coherentes con el AI Act y la OCDE— son:
- Evaluación de riesgos y de impacto: analizar, antes de desplegar el sistema, qué derechos podría afectar y cómo se mitigan esos riesgos.
- Gobernanza de datos: asegurar que los datos de entrenamiento y operación sean de calidad, representativos y trazables, para reducir sesgos.
- Documentación técnica y registros: mantener documentación del diseño del sistema y registros (logs) de su funcionamiento que permitan auditarlo.
- Supervisión humana: garantizar que una persona pueda entender, supervisar y, en su caso, revertir las decisiones del sistema. La IA asiste; no decide sola en materias sensibles.
- Transparencia hacia los usuarios: informar de forma clara que se usa IA y, cuando corresponda, explicar la lógica general de las decisiones.
- Notificación de incidentes: reportar fallos o daños graves a la autoridad competente.
La autoridad de aplicación y el régimen sancionatorio son aspectos que se definen en la tramitación, pero la dirección es inequívoca: más responsabilidad para quienes desarrollan y usan IA en contextos sensibles.
La pieza que ya está vigente: Ley 21.719 de datos personales
Aquí conviene ser claro: aunque la ley de IA todavía no rige, la regulación de datos personales sí. La Ley 21.719, que moderniza la protección de datos en Chile y crea la Agencia de Protección de Datos Personales, ya impone obligaciones directamente relevantes para cualquier sistema de IA que use datos de personas.
¿Por qué importa tanto para la IA? Porque casi todo sistema de IA se alimenta de datos, y muchos de esos datos son personales. La Ley 21.719 exige, entre otras cosas:
- Una base de licitud para tratar datos (consentimiento u otra causal legal).
- Finalidad determinada y minimización: usar solo los datos necesarios.
- Derechos del titular: acceso, rectificación, cancelación, oposición y portabilidad.
- Reglas sobre decisiones automatizadas: las personas tienen derechos frente a decisiones que las afecten significativamente y que se basen únicamente en tratamiento automatizado.
- Medidas de seguridad proporcionales al riesgo.
En la práctica, esto significa que una empresa chilena que use IA con datos personales debe cumplir dos capas: la Ley 21.719 para los datos que entran al sistema, y la futura ley de IA para el sistema en sí. No son alternativas: se suman.
Impacto en estudios jurídicos y abogados
La regulación de IA no es solo un tema de grandes tecnológicas. Afecta directamente a quienes ejercen el derecho, en dos planos.
Como usuarios de IA
Un estudio que usa IA para revisar contratos, buscar jurisprudencia o transcribir audiencias maneja información confidencial y datos personales de clientes. Aunque estas herramientas suelen ser de riesgo limitado o mínimo, el deber de secreto profesional y la Ley 21.719 obligan a:
- Verificar que el proveedor garantice confidencialidad y seguridad de la información.
- No subir documentos sujetos a secreto profesional a herramientas sin garantías adecuadas.
- Mantener supervisión humana sobre cada resultado entregado al cliente.
- Documentar el flujo de trabajo cuando la IA participe en una decisión relevante.
Como asesores de empresas
Aquí aparece una nueva área de práctica: el cumplimiento normativo en IA. Los abogados serán quienes ayuden a las empresas a clasificar sus sistemas por nivel de riesgo, redactar políticas internas de uso de IA, negociar cláusulas de responsabilidad con proveedores y preparar las evaluaciones de impacto. El compliance de IA se sumará al de protección de datos, libre competencia y prevención de delitos (Ley 20.393).
Cómo prepararse hoy: una hoja de ruta práctica
No hace falta esperar la publicación de la ley para empezar. Estos pasos reducen el riesgo y adelantan el cumplimiento:
- Inventario de IA: liste todos los sistemas de IA que su organización usa o planea usar, y para qué.
- Clasificación por riesgo: determine, de forma preliminar, en qué nivel cae cada sistema (mínimo, limitado, alto).
- Mapa de datos: identifique qué datos personales alimentan cada sistema y verifique el cumplimiento de la Ley 21.719.
- Debida diligencia de proveedores: exija a los proveedores de IA garantías de seguridad, trazabilidad, ubicación de los datos y cumplimiento normativo.
- Políticas internas: defina reglas de uso aceptable de IA para su equipo, con énfasis en confidencialidad y supervisión humana.
- Supervisión humana documentada: deje constancia de que una persona revisa los resultados de la IA antes de usarlos en decisiones que afecten a terceros.
- Formación: capacite a su equipo sobre los riesgos y límites de la IA. La regulación parte del supuesto de que quien usa la herramienta entiende lo que hace.
Qué viene: el calendario probable
La aprobación de una ley de IA no es instantánea. Tras la tramitación legislativa suele haber un período de vacancia para que las organizaciones se adapten, más la dictación de reglamentos. Es razonable anticipar un calendario escalonado (primero las prohibiciones, luego las obligaciones de alto riesgo), la consolidación de la Agencia de Protección de Datos como actor central, estándares sectoriales (financiero, salud, justicia) y una creciente presión del mercado: clientes y contrapartes exigirán cumplimiento como condición contractual, incluso antes de que sea obligatorio.
Conclusión
Chile se encamina hacia una regulación de la inteligencia artificial moderna, basada en riesgos y alineada con los estándares europeos y de la OCDE. Para empresas y estudios jurídicos, esto no es una amenaza sino una señal de madurez: la IA deja de ser tierra de nadie y pasa a tener reglas claras.
La estrategia ganadora no es esperar a la ley, sino adelantarse. Quienes inventaríen sus sistemas, clasifiquen sus riesgos, cumplan desde ya la Ley 21.719 y exijan garantías a sus proveedores llegarán a la nueva normativa con ventaja, no con sobresaltos.
La IA seguirá transformando la práctica jurídica en Chile. La diferencia la hará usarla de forma responsable, transparente y trazable.
¿Quiere usar IA legal diseñada para el contexto chileno, con foco en confidencialidad y cumplimiento? Conozca Constitucional AI y prepare su estudio para la nueva regulación.
Preguntas frecuentes
¿Existe una ley de inteligencia artificial en Chile?
A junio de 2026 Chile no tiene todavía una ley de IA vigente, pero sí un proyecto de ley en tramitación en el Congreso que regula los sistemas de inteligencia artificial con un enfoque basado en riesgos, inspirado en el Reglamento de IA de la Unión Europea (AI Act). Mientras se aprueba, el uso de IA se rige por normas generales: la Ley 21.719 de protección de datos personales, la Ley 19.628, las normas sectoriales (financiero, salud, consumo) y los principios de la Política Nacional de Inteligencia Artificial.
¿Qué es el enfoque basado en riesgos del proyecto de ley chileno?
Es un modelo que clasifica los sistemas de IA según el nivel de riesgo que representan para los derechos de las personas. El proyecto distingue, en líneas generales, cuatro niveles: riesgo inaceptable (sistemas prohibidos, como manipulación subliminal o ciertos usos de identificación biométrica masiva), alto riesgo (sistemas que afectan derechos relevantes, como los usados en justicia, salud, empleo o crédito, sujetos a obligaciones estrictas), riesgo limitado (con deberes de transparencia, como avisar que se interactúa con una IA) y riesgo mínimo (sin obligaciones especiales). A mayor riesgo, mayores exigencias de gobernanza, documentación y supervisión humana.
¿Cómo se relaciona la regulación de IA con la Ley 21.719 de datos personales?
Son normas complementarias. La Ley 21.719 —que moderniza la protección de datos en Chile y crea la Agencia de Protección de Datos Personales— regula cómo se tratan los datos que alimentan a los sistemas de IA: exige base de licitud, finalidad, minimización y derechos del titular, incluyendo reglas sobre decisiones automatizadas. La futura ley de IA agrega obligaciones sobre el sistema en sí (evaluación de riesgos, transparencia, supervisión humana). En la práctica, una empresa que use IA con datos personales deberá cumplir ambas: la de datos para el insumo y la de IA para el sistema.
¿Qué obligaciones tendrían las empresas que usan IA de alto riesgo en Chile?
Aunque el texto final puede variar durante la tramitación, las obligaciones esperables para sistemas de alto riesgo incluyen: realizar evaluaciones de riesgo y de impacto, mantener documentación técnica y registros de funcionamiento, garantizar calidad y trazabilidad de los datos, asegurar supervisión humana efectiva, informar de forma transparente a los usuarios y notificar incidentes graves. Estas exigencias se alinean con el AI Act europeo y con las recomendaciones de la OCDE, organismo del que Chile es miembro.
¿Cómo puede un estudio jurídico prepararse para la regulación de IA?
El primer paso es inventariar qué herramientas de IA se usan y para qué (revisión de contratos, búsqueda de jurisprudencia, transcripción), clasificarlas por nivel de riesgo y verificar la confidencialidad de los datos que procesan. Conviene exigir a los proveedores garantías de seguridad, trazabilidad y cumplimiento de la Ley 21.719, y dejar constancia de la supervisión humana sobre cada resultado. Plataformas como Constitucional AI, diseñadas para el contexto chileno y con foco en confidencialidad, facilitan ese cumplimiento desde el inicio.