La Ley 21.719, vigente desde diciembre de 2026, establece un nuevo estándar de protección de datos personales en Chile. Si tu empresa está implementando IA, debes conocer sus implicancias hoy.

¿Qué cambia con la Ley 21.719?

La nueva ley reemplaza la Ley 19.628 y se alinea con estándares GDPR europeos. Los cambios más relevantes para empresas que usan IA:

  • Bases de licitud ampliadas: consentimiento explícito, interés legítimo y contrato son las principales.
  • Derechos ARCO+P obligatorios: Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Tu empresa debe tener endpoints para responderlos en 15 días hábiles.
  • Notificación de brechas: hasta 72 horas para notificar al Consejo para la Transparencia.
  • Evaluaciones de impacto (EIPD): obligatorias para tratamientos de alto riesgo.
  • Multas: hasta 5.000 UTM (~$350M CLP) por infracciones graves.

IA y datos personales: los riesgos reales

Cuando implementas IA en tu empresa, frecuentemente procesas datos personales: nombres, RUTs, correos, historial de interacciones. Bajo la Ley 21.719 esto implica:

  • Documentar qué datos procesa cada sistema de IA
  • Asegurar que los modelos LLM no almacenen datos sensibles en sus servidores
  • Implementar controles de acceso por rol y tenant
  • Garantizar el derecho a eliminar datos (incluyendo en embeddings y vectores)

En Deep Query: Diseñamos la plataforma con Ley 21.719 como requisito de arquitectura, no como parche. El aislamiento multi-tenant con RLS en PostgreSQL garantiza que ningún usuario acceda a datos de otro tenant. Los derechos ARCO+P están implementados a nivel de API.

Ley Karin y ambientes laborales con IA

La Ley Karin (Ley 21.643) agrega una capa adicional: si usas IA para monitorear el ambiente laboral, analizar comunicaciones o evaluar desempeño, debes cumplir con sus disposiciones de confidencialidad y no discriminación.

Checklist de compliance IA para tu empresa

  • ☐ Inventario de sistemas de IA y datos personales que procesan
  • ☐ Bases de licitud documentadas para cada tratamiento
  • ☐ Endpoints ARCO+P implementados con respuesta en 15 días
  • ☐ Contratos DPA con proveedores cloud (AWS, Google, Anthropic)
  • ☐ Protocolo de notificación de brechas ≤72 horas
  • ☐ EIPD completada si tratas datos sensibles o biométricos
  • ☐ Aislamiento de datos por tenant en sistemas multi-cliente

¿Te ayudamos a implementar esto en tu empresa?

Agenda una conversación de 30 minutos. Sin costo, sin compromiso. Saldrás con claridad sobre el camino más corto al resultado.