El Proyecto de Ley que regula los Sistemas de Inteligencia Artificial (Boletín N.º 16.821–19), que actualmente se encuentra en primer trámite constitucional, luego de ser rechazado su Informe Financiero a inicios de julio de 2025 en la Comisión de Hacienda, no limita que deba continuar con su tramitación legislativa.
Es importante recordar que este proyecto, en su última versión presentada, tiene por objeto regular y promover la creación, desarrollo, innovación e implementación de sistemas de IA al servicio de las personas, respetuosos de los principios democráticos y del Estado de Derecho (art.1º). Aplica a aquellos proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA, implementadores de sistemas de IA, como representantes autorizados de los proveedores de sistemas de IA, cuando dichos importadores, distribuidores o representantes autorizados, estén en Chile. En el caso de los proveedores e implementadores que se encuentren fuera de Chile, se les aplicará en cuanto a la información de salida generada por el Sistema de IA que se utilice en Chile (art. 2º).
A nivel de principios, se reconocen: (a) la intervención y supervisión humana; (b) la solidez y seguridad técnica; (c) la privacidad y gobernanza de datos; (d) la transparencia e identificación; (e) la diversidad y equidad social; (f) el bienestar social y medioambiental; (g) la rendición de cuentas y responsabilidad; (h) la protección de los derechos de los consumidores; (i) la equidad de género; (j) la protección de los derechos de autor; y (k) la explicabilidad (art. 4º).
El enfoque de riesgo se mantiene en la última versión discutida, en que además se incorporó una definición de “uso” a saber: el desarrollo, prueba y validación de sistemas de IA, así como su distribución, introducción en el mercado, puesta en servicio o cualquier actividad realizada por un operador.
La última versión del proyecto reconoce diversos tipos de sistemas de IA, es decir, aquellos: (i) de uso inaceptable (aquellos incompatibles con el respeto y garantía de los derechos fundamentales de las personas); (ii) de usos de alto riesgo (aquellos sistemas de IA autónomos o componentes de seguridad de productos cuya utilización puede transgredir los derechos fundamentales de las personas, especialmente si fallan o se utilizan de forma impropia); (iii) de uso de riesgo limitado (aquellos sistemas de IA cuyo uso presenta riesgos no significativos de manipulación, engaño, o error, producto de su interacción con personas); y, (iv) de usos sin riesgo evidente (aquellos cuyos usos no entran en categorías mencionadas anteriormente). Cada uno de estos, implica una serie de obligaciones para aquellos sujetos descritos en el art. 2º del Proyecto, según corresponda.
Dentro de los principales aspectos que fueron modificados a propósito de las indicaciones presentadas por el Ejecutivo, se pueden destacar lo siguiente.
- En el principio de explicabilidad, se incorporó que los resultados de los sistemas de IA deben ser compresibles por quienes puedan verse afectados por estos (art. 3º).
- Se modificaron usos prohibidos de los sistemas de IA: manipulación subliminal, identificación biométrica remota, extracción masiva de imágenes faciales y evaluación emocional en contextos determinados (art. 6º).
- Se incorporó la obligación que los operadores de sistemas de IA de alto riesgo implementen sistemas de monitoreo continuo del funcionamiento del sistema e impacto en estos durante el ciclo de vida útil (art. 9º).
- Se agregó la obligación de operadores de sistemas de IA de notificar incidentes relevantes en un plazo de 72 horas, con la previa coordinación de la Agencia de Protección de Datos Personales (art. 12º).
- Respecto del Consejo Asesor Técnico de Inteligencia Artificial se incorporaron algunas funciones tales como: proponer políticas de fomento de IA, realizar recomendaciones éticas sobre este tipo de tecnología y presentar un informe anual al Congreso y Ministerio de Ciencia, Tecnología, Conocimiento e Innovación. (art 14º).
- Se habilitaron a los órganos de la Administración del Estado que puedan usar un sandbox —es decir, espacios supervisados— para el uso de IA, quedando exentos de posibles multas, pero no de responsabilidad civil por eventuales daños. (art. 20º).
- Se incluyeron medidas dirigidas a las empresas de menor tamaño (art. 22º).
- A nivel de régimen sancionatorio, se incorporaron criterios de proporcionalidad, tales como: tamaño de la empresa, número de afectados, acciones de mitigación y grado de cooperación con las autoridades nacionales competentes (art. 26º).
- En materia de derechos de autor, si bien se incluía una excepción en el proyecto de ley presentado para minería de textos y datos, se modificó para incluir la posibilidad de realizar reserva de los derechos por parte de los titulares de las obras protegidas. (art. 33º del Proyecto, que incluya el artículo 71 T de la Ley N.º 17.336 sobre Propiedad Intelectual) y se agregó una obligación de transparencia para aquellos operadores de sistemas de IA de alto riesgo (art. 10º).
No obstante, y a pesar de los múltiples ajustes que se han realizado al Proyecto, existen aún voces de diversos sectores de la industria que critican fuertemente la tramitación de la iniciativa legislativa. Esto es principalmente motivado por tales temas como la existencia de algunos conceptos indeterminados que no se encuentran con suficiente desarrollo normativo y, por ende, que se traducirían en obligaciones para los sujetos obligados, más la remisión reglamentaria por asuntos claves, como el listado de sistemas de IA de alto y limitado riesgo, y el contenido de los sistemas de gestión de riesgos (cosa que se encuentra en aquellas reglas claves de las obligaciones descritas en el artículo 7º).
Además, si bien se incorporó una articulación entre la Agencia de Protección de Datos Personales y la Agencia de Ciberseguridad en posibles asuntos que se relacionen con incidentes en los sistemas de IA, no se visualiza claramente una incorporación de presupuesto para funciones que deberá asumir la Agencia de Protección de Datos Personales. Si bien puede llamar la atención a asuntos asociados con la IA cuando hay datos personales involucrados, al igual, puede que existan incidentes en este tipo de sistemas en que esta categoría de datos no se encuentre involucrada. Entonces, que sea una indicación de los defectos en el funcionamiento del sistema en sí mismo más que en el tipo de dato que ha sido utilizado como insumo para su entrenamiento y, por ende, sus resultados de procesamiento.
Se citó a sesión ordinaria para inicios de agosto de 2025, que se continúe la discusión del Proyecto de Ley, puesto que, al salir con informe negativo desde la Comisión de Hacienda, se podría ver afectado el proceso de votación en la Sala. Esto podría afectar la tramitación legislativa del Proyecto, por lo que diversos actores interesados se encuentran pendiente de las próximas etapas de su avance en el Congreso.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.