Publicado originalmente el 08 de octubre de 2025 en Idealex.

Una de las principales novedades de la Ley N° 21.719 es la regulación de las decisiones automatizadas. Esta norma, que entra en vigencia el 1 de diciembre de 2026 y que tiene como objetivo reformar nuestra ley de datos personales para elevar el nivel de protección a los titulares y crear una Agencia de Protección de Datos Personales, está explícitamente inspirada por el Reglamento general de protección de datos de la Unión Europea (RGPD).

El artículo 8 bis de la Ley N° 21.719 es una versión modificada del artículo 22 del RGPD y regula aquellas decisiones que son tomadas basándose en el tratamiento automatizado de los datos personales de los titulares, es decir, de forma autónoma o sin participación humana. Con el fin de proteger a las personas ante este tipo de procesamiento automatizado, la legislación establece una serie de requisitos bajo los cuales será lícito tomar decisiones automatizadas respecto de los individuos y entrega a los titulares una batería de derechos particularmente sofisticados. Entre ellos, el derecho a la información y transparencia, a exigir intervención humana, a expresar su punto de vista, a solicitar la revisión de la decisión y el derecho a obtener una explicación respecto de cómo se llegó a una decisión específica.

Todas estas garantías elevan sustancialmente el nivel de transparencia y los criterios de responsabilidad respecto del funcionamiento de sistemas algorítmicos, por lo que la regulación cumplirá un rol crucial en el proceso de transformación digital y modernización del Estado, las empresas y las organizaciones. Especialmente en un contexto en donde cada vez más la evaluación crediticia, la selección de personal, el levantamiento de alertas para detección de fraude, el perfilamiento para fines de marketing y la entrega de beneficios sociales es entregada, con distintos niveles de autonomía, a la decisión de sistemas algorítmicos o basados en tecnología de inteligencia artificial.

Chile no se limitó solo a replicar el contenido del artículo 22 del RGPD, sino que recogió la retroalimentación de los expertos que participaron del proceso legislativo y las lecciones que la jurisprudencia europea y el pronunciamiento de sus distintos organismos de control administrativo han dejado en la materia. Así, la legislación chilena no exige que la decisión se base “únicamente” en el tratamiento automatizado de datos, lo que en Europa fue interpretado como un riesgo de permitir que un nivel de participación humana nominal o simbólica deje a las personas fuera de la aplicación de la regulación.

Adicionalmente, el artículo 8 bis redujo el nivel de afectación que los titulares deben experimentar para estar protegidos por esta figura, solo exigiendo que estos sufran un “impacto significativo”. Por último y más relevante, la ley chilena consagra explícitamente el derecho a una explicación como derecho de los titulares, obligando a los responsables a ser capaces de fundamentar y describir bajo qué criterios, parámetros y mecanismos el sistema arribó a una decisión particular que afectó al individuo.

La gran sorpresa de la Ley N° 21.719 se encuentra en el artículo 21 inciso final. Este artículo establece taxativamente aquellas secciones de la ley que son aplicables a los organismos públicos. ¿El gran ausente? El artículo 8 bis. Es decir, el esfuerzo más importante y sofisticado que nuestra legislación ha emprendido para entregar a los individuos herramientas para proteger sus derechos, exigir transparencia y objetar con conocimiento de causa las decisiones que los sistemas algorítmicos y de inteligencia artificial toman respecto de ellos excluye completamente de su aplicación a todos los organismos de la administración del estado.

Esta decisión de política pública es paradójica, si tenemos en consideración que el Estado es el mayor procesador de datos personales en nuestro país y muchas veces el más negligente. Basta revisar el repositorio creado por el GobLab de la UAI titulado “Algoritmos Públicos” para darse cuenta de que el uso de decisiones automatizadas y de inteligencia artificial que puede afectar significativamente a los individuos no es algo eventual, sino que el Estado ya tiene implementados hoy muchas de estas herramientas.

Permitir a los individuos conocer la forma en los sistemas automatizados toman decisiones que los afectan, objetar dichas decisiones y ejercer sus derechos respecto de empresas y organismos privados, pero no respecto del Estado constituye una discriminación arbitraria que deja a los ciudadanos en una situación inaceptable de indefensión. Subsanar esta situación debería ser una prioridad para la nueva Agencia de Protección de Datos Personales, ya sea proponiendo al Presidente de la República la dictación de una ley corta que incluya a los organismos públicos en la aplicación del artículo 8 bis o a través de una instrucción general similar a las recomendaciones del Consejo para la Transparencia sobre transparencia algorítmica respecto del funcionamiento de los organismos públicos.

* Columna publicada originalmente el 25 de noviembre en Actualidad Jurídica.

Una de las principales innovaciones de la nueva ley de datos personales es la incorporación de mecanismos de cumplimiento legal o compliance, cuyo objetivo es complementar la aplicación de la ley por parte de la Agencia de Datos Personales y promover el cumplimiento de la ley a través de mecanismos colaborativos. Uno de estos mecanismos es la implementación de modelos de prevención de infracciones, conocidos ya en otros ámbitos legales. Pero aquí es donde surge la pregunta, estos programas ¿son obligatorios o voluntarios?  En el caso del sector privado, la respuesta es clara: sí. El artículo 49 establece que “[l]os responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento”. La redundancia entre “podrán” y “voluntariamente” refuerza suficientemente el punto legal.

En el caso del sector público, la respuesta no es la misma, tenemos que hablar de un deber de compliance cuya modalidad de cumplimiento es alternativa. El artículo 44, inciso segundo, dispone que “los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49”. Es decir, en este caso existe obligación de adoptar uno de los dos esquemas de cumplimiento: las medidas ad hoc diseñadas por la Agencia -una vez que esta exista y esté en funcionamiento- o el modelo de prevención del artículo 49, cuyo contenido al menos ya está meridianamente detallado en la ley.

Veamos la situación desde el punto de vista de las decisiones organizacionales y de negocio. Si la organización decide no implementar el modelo de prevención de infracciones, ¿debe igualmente cumplir con la ley? La respuesta es obvia: por supuesto. Es decir, el responsable del tratamiento de datos personales deberá ajustar su documentación, procesos, roles y un largo etcétera para evitar infracciones a los principios, obligaciones y deberes que impone la ley. Tendrá que adecuar su funcionamiento para responder al ejercicio de derechos de los titulares de datos. En otros términos, tendrá que realizar una serie de medidas que igualmente deberán ser implementadas bajo un modelo de compliance. Ante tal escenario, la utilidad del modelo de prevención se visibiliza con claridad. Permite tanto ajustar el cumplimiento a la ley como mitigar los riesgos asociados al funcionamiento de la organización. Si el costo de ese esfuerzo además permitiría, eventualmente, lograr una atenuante en un proceso sancionatorio, entonces el incentivo económico es nítido. Es cierto que ello requiere la certificación del modelo por la Agencia, pero en cualquier caso podría ser un costo marginal ante las exigencias obligatorias de cumplimiento.

En el caso del sector público, el dilema es aún más estrecho. Los órganos de la Administración, al tener que cumplir con una de dos alternativas, la vacancia legal favorecerá el pragmatismo de la opción por el modelo de prevención. En otros términos, un jefe superior del servicio debe optar entre intentar implementar el cumplimiento y esperar las medidas que recomiende la Agencia o adoptar el modelo de prevención del artículo 49, cuyo contenido es conocido y genera menos incertidumbre. Ante tal escenario, la opción por el modelo de compliance cae por su propio peso.

La importancia de implementar estas medidas de prevención al interior del sector público se ve complementada por el esquema sancionatorio de la ley, la cual incluye sanciones al jefe superior de servicio tales como multas del 50% de su remuneración mensual y su suspensión en el cargo de hasta 30 días, así como la remisión a la Contraloría General de la República para la realización de sumarios administrativos y sanciones de acuerdo al Estatuto Administrativo a los funcionarios infractores.

Los dos años de vacancia de la nueva ley representan la única ventana de oportunidad para avanzar en las medidas de cumplimiento indispensables para tener la casa ordenada al momento de su entrada en vigencia, medidas que se deben tomar no sólo en el sector privado sino también en todos los órganos del Estado. Puede sonar a un plazo extenso, pero la experiencia europea enseña que es ajustado. Llegó el momento de arremangarse y ponerse a trabajar.

Publicada originalmente el 30 de octubre de 2024 en Idealex

En Chile nos hemos acostumbrado a quejarnos de la calidad de nuestro proceso legislativo, en especial, cuando la ley en cuestión se ha inspirado en una legislación extranjera. Este reclamo muchas veces es válido, ya que efectivamente en el pasado varios proyectos de ley han sido poco más que un “copy/paste” de legislación extranjera, no solamente afectando la calidad de nuestras leyes, sino que produciendo lo que la literatura ha denominado “trasplantes jurídicos”. Estos trasplantes se caracterizan por no adecuarse al medio local, la cultura jurídica del país al cual son injertados y por pasar por alto las diferencias económicas e institucionales entre el país que inspira la legislación y el país en donde se implementa el injerto.

Sin embargo, me parece que es igual de importante dar cuenta de aquellos casos en donde nuestro proceso legislativo no solo ha adecuado correctamente una legislación extranjera al medio local, sino que ha sido capaz de aprender de los errores e imprecisiones del país de origen, y crear una legislación que mejora el producto respecto del cual se inspira. Este me parece, es el caso de la regulación de la toma de decisiones automatizadas en la nueva ley de datos personales. Dicha regulación se encuentra fuertemente inspirada por el Reglamento general de protección de datos de la Unión Europea (GDPR, por sus siglas en inglés). Esto no es algo malo, tiene todo el sentido del mundo inspirarse en la legislación más sofisticada en la materia a la fecha y la que, además, se ha transformado de facto en un estándar global.

Pero el GDPR no es perfecto. En lo que respecta a la toma de decisiones automatizadas —una materia clave para el futuro de la regulación de la inteligencia artificial— el artículo 22 del GDPR tenía una serie de errores en su técnica legislativa que hacían que, en la práctica, la protección otorgada a los titulares fuese demasiado restrictiva.

En primer lugar, el GDPR establece que los titulares tienen “derecho a no ser objeto” de decisiones automatizadas, a menos que se cumplan ciertas condiciones. El hecho de tratarse de un derecho implica que es una prerrogativa que el titular tendría que invocar activamente.

En otras palabras, toda toma de decisiones automatizadas sería legítima hasta que el titular invocara su derecho a oponerse a dicha actividad. Puesto que esta redacción implicaría poner la carga procesal en el titular en vez de protegerlo por defecto, el Grupo de Trabajo del Artículo 29 interpretó administrativamente que, a pesar de que el artículo del GDPR habla de un derecho, en realidad se trata de una prohibición general.

En segundo lugar, las garantías del artículo 22 solo serían aplicables cuando la decisión se basará “únicamente” en el tratamiento automatizado de los datos del titular. Esto abría la puerta para que la participación nominal o simbólica de un ser humano en el proceso de la toma de decisión hiciera inaplicable el artículo. Nuevamente, el Grupo de Trabajo tuvo que salvar la norma interpretando que para entender que la decisión era tomada “únicamente” basada en el tratamiento automatizado de datos personales, la participación humana no debería ser “significativa”, excluyendo la participación nominal o simbólica para blanquear una decisión automatizada.

Por último, los considerandos del GDPR señalan que los titulares gozan del derecho a una explicación respecto de cómo se tomó una decisión automatizada que les afecte. Sin embargo, el artículo 22 solo entrega al titular el derecho a objetar la decisión, obtener una intervención humana y expresar su punto de vista. Hasta ahora la doctrina discute si el derecho a una explicación es un derecho sustantivo (detallado y respecto a una decisión específica) o solo el derecho a obtener información respecto a cómo funciona, a grandes rasgos, el sistema algorítmico.

En Chile aprendimos de estos errores y fuimos capaces de redactar una norma que supera estas dificultades. Así, el artículo 8 bis del proyecto de ley aprobado, entrega al titular el derecho a “oponerse y a no ser objeto” de decisiones automatizadas, dejando en claro que las personas solo podrán verse afectadas por este tipo de decisiones cuando se cumplan los requisitos legales.

Del mismo modo, nuestra norma eliminó el término “únicamente”, por lo que se evita la posibilidad de que los resguardos del artículo dejen de ser aplicables por la inclusión de una participación humana nominal en el proceso de toma de decisiones automatizadas. Por último, el artículo consagra explícitamente el derecho que tienen los titulares a exigir a los administradores del sistema una explicación respecto de cómo se llegó a la decisión automatizada que los afecta, lo que significa una mejora significativa respecto del nivel de protección al que están sujetos los titulares europeos.

Estas mejoras en la técnica legislativa no son casuales, sino que son el producto de un arduo debate al interior de las comisiones que estudiaron el proyecto en el Congreso, las que sesionaron múltiples veces e invitaron a decenas de expertos en la materia. Del mismo modo, fue clave la participación de distintos actores involucrados, tales como la academia, la industria y la sociedad civil.

Creo que el producto final de la ley de datos personales no fue una victoria avasalladora de las posturas de un actor en desmedro de los otros, sino que un proceso de negociación y compromiso de posiciones en juego que permitió la producción de una regulación que mantuvo un equilibrio entre los intereses de distintos representantes de la sociedad.

Pablo Viollier es coordinador del diplomado en protección de datos personales de la Universidad Central y abogado de DataCompliance.

Publicada originalmente el 14 de septiembre de 2020 en Infoxidados

Cuando discutimos sobre protección de datos personales existe una inclinación muy natural e intuitiva a exclamar ¡Estos son mis datos! ¡Son míos, y como son míos, yo hago lo que quiero con ellos; yo los controlo y no dejo que otra persona decida por mí qué hacer con ellos! Especialmente en EE. UU, incluso los activistas de la privacidad recurren a esta narrativa para defender los derechos de los ciudadanos, abogando por el data ownership. En otras palabras, que los datos personales no sean algo que se pueda recolectar, procesar y comunicar libremente, sino que un activo sobre el cual sus “dueños” tienen el control.

Por supuesto que estas iniciativas son bienintencionadas y buscan empoderar a las personas, pero creo que incurren en un error conceptual que puede tener implicancias profundamente negativas. La propiedad es un derecho que facultad el uso, goce y disposición arbitraria sobre una cosa. Si yo soy dueño de una pelota de tenis, entonces si yo quiero la puedo quemar, la puedo regalar, la puedo vender o la puedo entregar en préstamo perpetuo. Pero ¿una vez que vendo la pelota, puedo volver a reclamar propiedad sobre ella? No, la vendí y ya no es mía.

¿Es posible aplicar esta misma lógica a la protección de datos personales? No, porque el vínculo entre un individuo y sus datos personales no es de propiedad, sino que de titularidad. Y no es de propiedad porque no puedo vender mi nombre, no puedo ceder mi RUT, ni puedo regalar mi huella digital.

Los datos personales son parte íntegra de la identidad de una persona. Por lo mismo, su protección no proviene del ejercicio del derecho a la propiedad, sino del ejercicio de un derecho fundamental autónomo denominado autodeterminación informativa. Y la autodeterminación informativa es un derecho humano realmente hermoso: es la facultad que tenemos todas las personas para decidir y controlar qué parte de nosotros mismos proyectamos frente a nuestros pares. Y, en la medida que somos capaces de proyectarnos frente a otros de la forma que autónomamente hemos decidido, somos capaces de construir nuestra propia identidad. Es, en otras palabras, un ejercicio de la libertad y la autonomía. Es la capacidad de todo ser humano de pararse frente al mundo y decir: este soy yo, soy quien yo quiero ser.

Construirse a uno mismo y tener una identidad pasa por decidir qué es lo que quiero que otros sepan de mí. Yo puedo ser un académico muy serio de día y un carretero de noche. Puedo proyectar una orientación sexual en mi trabajo y otra en mi vida privada. Puedo ser mujer de día y hombre de noche.

Este desenvolvimiento esencial de la identidad no es posible bajo el paradigma de la propiedad. Si yo le vendiera mis datos a Facebook, entonces nunca recuperaría el control sobre ellos. Pero nuestro ordenamiento jurídico no funciona así, garantiza al titular (la persona) la capacidad de siempre retractar su consentimiento y recuperar el control sobre sus datos. El ejercicio del derecho a acceso, rectificación, cancelación y oposición puede siempre ser ejercido por el titular, independiente de quien esté administrando los datos y bajo qué compromiso. Porque los datos personales nunca pueden desligarse del titular, siempre harán referencia a su identidad.

Por eso, entender este vínculo como uno de titularidad y no de propiedad no sólo nos permite empoderar y proteger mejor a las personas del tratamiento que terceros quieran hacer de sus datos. También nos permite aproximarnos al fenómeno desde una perspectiva distinta y garantizar este derecho como lo que es: un derecho humano.