Inteligencia Artificial y Protección de Datos en Chile: Guía para un cumplimiento basado en un enfoque responsable

¿Cómo aprovechar al máximo las capacidades de la IA mientras se cumplen rigurosamente las nuevas exigencias legales sobre datos personales? La respuesta radica en una planificación meticulosa, la definición precisa de objetivos y la implementación de prácticas que aseguren transparencia y responsabilidad en cada fase del proceso.

Esta guía se basa en las directrices emitida por las autoridades europeas, y se adapta al contexto chileno mediante la incorporación de las disposiciones y lineamientos establecidos por la nueva Ley de Protección de Datos Personales en Chile. Su propósito es ofrecer un marco integral que permita a las organizaciones desarrollar, implementar y utilizar sistemas de IA de manera responsable, minimizando los riesgos inherentes al tratamiento de datos personales y garantizando la transparencia y la seguridad en esta materia.

1. Concepción y Selección de la Solución de Inteligencia Artificial

Antes de implementar cualquier solución basada en IA, es fundamental definir con precisión su propósito, el ámbito de aplicación y los objetivos que se pretenden alcanzar. Este primer paso es esencial para determinar la necesidad real de tratar datos personales y para establecer una base sólida que justifique, de forma proporcional, el procesamiento de la información, en concordancia con lo estipulado en la nueva Ley sobre Protección de Datos Personales.

1.1. Definir el Propósito y los Objetivos

El primer paso consiste en establecer de forma clara y detallada el propósito para el cual se utilizará la solución de IA. Esto implica responder a preguntas fundamentales, tales como:

• ¿Qué problema específico se pretende resolver con la IA?
• ¿Cuáles son los resultados esperados y cómo se medirán?
• ¿Qué beneficios se derivarán de su implementación?

La nueva reforma a la Ley 19628 exige que cualquier tratamiento de datos personales se realice con fines específicos, explícitos y lícitos (ver Artículo 1° y 3° de la ley). Por ello, la definición del propósito debe estar orientada a garantizar que solo se recaben y procesen los datos estrictamente necesarios para alcanzar el objetivo planteado. Por ejemplo, una aplicación de IA destinada a optimizar la gestión logística en una empresa puede operar sin recurrir a datos personales sensibles, mientras que un sistema que mejora el servicio al cliente podría requerir información identificable.

1.2. Delimitación del Campo de Aplicación

Una vez definido el objetivo, es esencial delimitar el ámbito de aplicación de la solución. Esto significa identificar con precisión las áreas o procesos en los que se utilizará la tecnología y determinar si la actividad implica el tratamiento de datos personales.

• Procesos internos vs. procesos externos: Diferencie entre los usos de la IA que operan en entornos controlados (por ejemplo, análisis interno de datos operativos) y aquellos que involucran la interacción directa con usuarios o ciudadanos, donde la protección de datos es aún más crítica.
• Necesidad del tratamiento de datos personales: Realice una evaluación de proporcionalidad y justificación, de acuerdo al principio de minimización recogido en la Ley (Artículo 3°), que exige tratar únicamente los datos necesarios para la finalidad indicada.

1.3. Evaluar la Legitimidad y Necesidad del Tratamiento

El tratamiento de datos personales debe estar fundamentado en una necesidad real y ser proporcional al fin que se persigue. Se recomienda:

• Justificar el uso de datos personales: Asegúrese de que el procesamiento de información sea indispensable para alcanzar el objetivo propuesto y que no existan alternativas menos intrusivas, en concordancia con los principios de licitud y lealtad establecidos en la Ley.
• Aplicar el principio de minimización: Solo se deben tratar aquellos datos estrictamente necesarios, reduciendo así la exposición de información sensible y facilitando el cumplimiento normativo.

1.4. Análisis del Proceso de Entrenamiento

La calidad del entrenamiento de la IA es determinante para su funcionamiento y para el nivel de riesgo que implica el tratamiento de datos personales. Es crucial:

• Solicitar transparencia al proveedor: Exija documentación que acredite que el proceso de entrenamiento se ha realizado conforme a la legislación chilena, particularmente en lo que respecta al uso de datos personales.
• Verificar las fuentes y métodos: Asegúrese de que los datos empleados en el entrenamiento cuenten con la base legal adecuada y se hayan obtenido de manera lícita, evitando prácticas que puedan comprometer la privacidad, en línea con lo previsto en la Ley 19628.

1.5. Considerar Alternativas sin Datos Personales

En la medida de lo posible, es preferible optar por soluciones que operen sin el uso de datos personales. Evaluar la posibilidad de utilizar datos anónimos o agregados permitirá reducir los riesgos y facilitar el cumplimiento de la normativa.

• Revisión del ciclo de vida de los datos: Asegúrese de que, en cada fase (recogida, almacenamiento, procesamiento y eliminación), se minimice el tratamiento de datos personales, aplicando técnicas de seudonimización o anonimización cuando sea pertinente (ver definiciones y medidas en la Ley).

2. Base Legal y Garantías para los Derechos de los Interesados

El tratamiento de datos personales mediante soluciones de IA debe estar respaldado por una base legal que justifique su realización, conforme a lo estipulado en la Ley y sus modificaciones. Es fundamental establecer un marco jurídico claro y garantizar que los interesados puedan ejercer sus derechos de manera efectiva.

2.1. Establecimiento de la Base de licitud

Cada operación de tratamiento debe contar con un base de licitud para el tratamiento de datos personales y distinguir entre reglas aplicables a datos personales sensibles y no sensibles.

Es imprescindible documentar de forma rigurosa la elección de la base legal, evaluando los riesgos y adoptando medidas de mitigación adecuadas.

2.2. Garantizar los Derechos de los Interesados

La transparencia y el respeto a los derechos de los interesados son principios fundamentales establecidos en la nueva norma sobre protección de datos personales. Para ello, las organizaciones deben:

• Informar de forma clara y accesible: Proporcione a los usuarios información completa sobre cómo se utilizan sus datos, la finalidad del tratamiento, los destinatarios de la información y el período de conservación, en concordancia con el Artículo 14 ter de la ley.
• Facilitar el ejercicio de derechos: Establezca procedimientos internos que permitan a los interesados ejercer su derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos, conforme a lo dispuesto en los Artículos 4° a 11 de la ley.
• Implementar mecanismos técnicos: Utilice herramientas que permitan gestionar las preferencias de los interesados, revocar el consentimiento y atender las solicitudes en los plazos estipulados por la normativa chilena.

2.3. Documentación y Registros del Tratamiento

Mantener un registro detallado de todas las operaciones de tratamiento es una obligación esencial. Esta documentación debe incluir:

• La finalidad del tratamiento, la base legal invocada y las categorías de datos tratados.
• Los destinatarios de los datos, tanto internos como externos.
• Las medidas de seguridad implementadas y cualquier evaluación de impacto realizada, en consonancia con el Artículo 15 ter de la Ley 19628.

3. Decisiones Automatizadas: Supervisión y Control Humano

Uno de los aspectos más críticos en la implementación de soluciones de IA es la toma de decisiones automatizadas que pueden afectar significativamente a los interesados. La Ley 19628 establece, especialmente en lo relacionado con el derecho de oposición a decisiones individualizadas automatizadas (Artículo 8° bis), que estas decisiones deben contar con supervisión humana.

3.1. Intervención Humana Obligatoria

El principio fundamental es que ninguna decisión automatizada que pueda afectar de manera sustancial a una persona debe ser adoptada sin la intervención de un operador humano. Para ello:

• Incorpore mecanismos de supervisión: Debe existir un responsable que revise y, si fuera necesario, modifique la decisión emitida por la IA.
• Garantice una revisión efectiva: La intervención humana debe permitir la evaluación crítica y la corrección de posibles errores o sesgos en la salida del sistema, en línea con lo establecido en la normativa.

3.2. Protocolos de Revisión y Validación

Para asegurar que las decisiones automatizadas sean justas y precisas, se recomienda:

• Establecer revisiones periódicas de los resultados: Evaluar de forma regular los outputs generados por la IA para detectar errores, desviaciones o patrones discriminatorios.
• Validar las decisiones de alto impacto: En ámbitos como la selección de personal o la asignación de créditos, cada decisión automatizada debe ser revisada y validada por un profesional capacitado.

3.3. Ejemplos Prácticos de Supervisión

• Selección de Personal: Si una IA filtra currículos, las recomendaciones deben ser revisadas por un responsable de recursos humanos, considerando factores cualitativos que el algoritmo pueda pasar por alto.
• Asignación de Servicios: En el caso de sistemas que determinan la elegibilidad para beneficios, se debe disponer de un mecanismo que permita a los interesados solicitar una revisión manual de la decisión.

4. Arquitectura del Sistema: Sistemas Cerrados vs. Sistemas Abiertos

La elección de la arquitectura del sistema de IA tiene un impacto directo en la seguridad y protección de los datos personales. Es esencial comprender las diferencias entre sistemas cerrados y abiertos para seleccionar la opción que minimice los riesgos, conforme a los lineamientos de la Ley 19628.

4.1. Sistemas Cerrados

Los sistemas cerrados operan en entornos controlados donde el acceso a la información se limita a un grupo específico de usuarios. Entre sus principales ventajas se encuentran:

• Mayor control sobre los datos: El tratamiento y almacenamiento se realizan en entornos internos, reduciendo el riesgo de exposición a terceros.
• Reducción en la transmisión de información: Al no compartir datos con proveedores externos o a través de redes públicas, se minimiza el riesgo de accesos no autorizados.
• Facilidad para implementar medidas de seguridad: La infraestructura interna permite la aplicación de controles de acceso, cifrado y monitorización de manera más estricta.

4.2. Sistemas Abiertos

Los sistemas abiertos, tales como las soluciones basadas en la nube, ofrecen mayor flexibilidad y escalabilidad, pero presentan riesgos adicionales:

• Transmisión de datos a través de redes: La información se transmite por Internet, lo que aumenta la posibilidad de accesos no autorizados.
• Uso de datos por parte del proveedor: Dependiendo de la configuración, el proveedor podría usar los datos para entrenar otros modelos o para fines secundarios, lo que podría vulnerar la privacidad.
• Transferencias internacionales: En ocasiones, los datos pueden ser transferidos a terceros países, por lo que se debe garantizar el cumplimiento de las condiciones establecidas en la normativa chilena.

4.3. Recomendaciones en la Elección de la Arquitectura

• Optar preferentemente por sistemas cerrados cuando se trate de datos sensibles o cuando el control interno sea prioritario.
• Establecer acuerdos contractuales sólidos con proveedores de sistemas abiertos, definiendo de forma precisa las obligaciones en materia de seguridad, confidencialidad y protección de datos.
• Implementar medidas adicionales de seguridad en sistemas abiertos, como el cifrado de extremo a extremo, controles rigurosos de acceso y monitorización continua.

5. Transparencia y Control de la Información

La transparencia es un principio fundamental en la protección de datos. Las organizaciones deben garantizar que los interesados conozcan de manera clara y accesible cómo se procesan sus datos y el funcionamiento de la solución de IA, en consonancia con lo exigido por la Ley.

5.1. Información y Documentación Detallada

• Divulgación de la lógica de la IA: Los proveedores deben suministrar documentación técnica que explique la lógica del sistema, los algoritmos utilizados y los criterios de toma de decisiones. Esto es esencial para cumplir con los deberes de información del Artículo 14 ter de la Ley.
• Presentación comprensible de la información: La información debe ser presentada en un lenguaje claro, apoyada en gráficos o visualizaciones interactivas que faciliten la comprensión del tratamiento de datos.

5.2. Control sobre la Utilización de Datos

• Opción de exclusión para el entrenamiento: Los usuarios deben tener la posibilidad de excluir sus datos de ser utilizados para entrenar o mejorar el modelo, siempre que ello sea técnicamente viable.
• Gestión de la historia de entradas: En aplicaciones que conserven la “historia de entradas” (por ejemplo, registros de interacciones o prompts), se debe ofrecer la posibilidad de optar por no almacenar dicha información, protegiendo así la privacidad de los usuarios.

5.3. Ejecución de Derechos de Acceso y Rectificación

• Procedimientos internos eficaces: Establezca canales que permitan a los interesados acceder a la información que se tiene sobre ellos, corregir datos erróneos o solicitar su eliminación, en cumplimiento de lo dispuesto en la Ley.
• Respuesta ágil a las solicitudes: Los procedimientos deben estar diseñados para responder en los plazos establecidos por la normativa chilena, ofreciendo respuestas claras y completas.

6. Responsabilidad y Gobernanza en el Uso de la IA

La implementación de soluciones de IA requiere de un marco de gobernanza robusto que defina de forma precisa las responsabilidades y establezca mecanismos de control y seguimiento. Esto es fundamental para asegurar el cumplimiento de la Ley y garantizar la protección de los datos personales.

6.1. Definición de Responsabilidades

• Responsable del tratamiento: Toda organización debe identificar quién es el responsable del tratamiento de datos, ya sea en soluciones desarrolladas internamente o mediante la contratación de un proveedor externo.
• Contratación y acuerdos de tratamiento: En el caso de externalizar la solución, se debe formalizar un contrato de tratamiento de datos conforme a la normativa chilena, en el que se especifiquen las obligaciones y responsabilidades de ambas partes.

6.2. Acuerdos de Responsabilidad Conjunta

• Colaboración entre entidades: Cuando varias organizaciones participan en el tratamiento de datos, es fundamental establecer acuerdos de responsabilidad conjunta que definan las funciones, compromisos y mecanismos de coordinación para la protección de datos.
• Protocolos de respuesta coordinada: Los acuerdos deben incluir procedimientos para la gestión de incidentes y la notificación a las autoridades y a los interesados en caso de violación de datos.

6.3. Políticas Internas y Formación Continua

• Desarrollo de reglamentos internos: Las organizaciones deben desarrollar políticas internas claras que rijan el uso de la IA, estableciendo límites, procedimientos de actuación y directrices para el tratamiento de datos personales.
• Capacitación del personal: La formación y sensibilización de los empleados en materia de protección de datos es clave para evitar prácticas inadecuadas y fomentar una cultura de responsabilidad.

6.4. Evaluación de Impacto y Medidas de Seguridad

• Evaluación de Impacto en la Protección de Datos: Antes de implementar una solución de IA que involucre datos personales, se debe realizar una evaluación de impacto para identificar y mitigar los riesgos inherentes, en línea con lo establecido en la nueva norma local.
• Implementación de medidas de seguridad: Se deben aplicar controles técnicos y organizativos que aseguren la confidencialidad, integridad, disponibilidad y resiliencia de los datos. Esto incluye el cifrado, la autenticación multifactor, la monitorización continua y políticas de acceso restringido.

7. Buenas Prácticas en la Operación y Supervisión de la IA

La implementación de una solución de IA no concluye con su despliegue; es fundamental establecer procedimientos de supervisión y control que aseguren un uso constante y responsable de la tecnología.

7.1. Supervisión y Validación de Resultados

• Revisión periódica: Los resultados generados por la IA deben evaluarse regularmente para detectar posibles errores, sesgos o desviaciones. Establecer protocolos de validación permite corregir dichas desviaciones antes de que impacten decisiones de alto impacto.
• Auditorías internas y externas: La realización de auditorías periódicas, tanto internas como por terceros independientes, es esencial para garantizar la calidad y equidad de los resultados emitidos por la solución.

7.2. Prevención de Discriminación y Sesgos

• Monitoreo: Es fundamental implementar mecanismos que permitan detectar y corregir patrones discriminatorios en las salidas del sistema. Esto incluye evaluar la representatividad de los datos de entrenamiento y revisar la configuración del algoritmo.
• Ajustes correctivos: Ante la detección de sesgos, se deben realizar ajustes en el modelo, actualizando los datos o reconfigurando el algoritmo, para asegurar la justicia y la equidad en los resultados.

7.3. Gestión de Incidentes y Actualización del Sistema

• Protocolos de respuesta ante incidentes: Establezca procedimientos claros para la gestión de incidentes de seguridad, incluyendo la notificación a las autoridades y a los interesados.
• Revisión y actualización constante: El entorno tecnológico y regulatorio evoluciona rápidamente. Es indispensable que la solución de IA sea objeto de revisiones periódicas y que se actualicen tanto los sistemas como los acuerdos contractuales con proveedores para adaptarse a nuevos desafíos y amenazas.

8. Conclusiones y Recomendaciones Finales

La integración de la inteligencia artificial en las operaciones de una organización ofrece oportunidades significativas para la innovación y la eficiencia, pero también plantea desafíos importantes en materia de protección de datos y respeto a los derechos fundamentales. Esta guía definitiva ha presentado un marco integral y práctico que abarca desde la concepción del uso hasta la supervisión operativa, ofreciendo recomendaciones detalladas que permiten implementar soluciones de IA de forma responsable y en conformidad con la nueva normativa sobre protección de datos personales en Chile.

8.1. La Protección de Datos como Pilar Fundamental

• Compromiso ineludible: La protección de datos debe considerarse como un elemento esencial en el diseño y operación de cualquier sistema de IA. La transparencia, la responsabilidad y la garantía de derechos son pilares innegociables que sustentan la confianza de los ciudadanos.
• Privacidad desde el diseño y por defecto: Integrar estos principios desde la fase de concepción del sistema es clave para minimizar riesgos y asegurar el cumplimiento normativo durante todo el ciclo de vida del tratamiento de datos.

8.2. Colaboración y Adaptación Continua

• Enfoque multidisciplinario: La implementación responsable de la IA requiere la colaboración de expertos en tecnología, derecho, ética y protección de datos. Un enfoque integrado permite abordar de manera eficaz los desafíos complejos que plantea la adopción de nuevas tecnologías.
• Actualización y mejora constante: Las organizaciones deben establecer mecanismos de revisión y actualización que permitan adaptar sus políticas y sistemas a los cambios en el entorno tecnológico y normativo, asegurando que se mantengan altos estándares de protección.

Equipo Idónea

¡Contáctanos en idonea.cl y colaboremos para desarrollar una innovación digital responsable y segura!

#InteligenciaArtificial #ProteccionDeDatos #InnovacionResponsable #Chile #Ley19628