La acelerada evolución de la inteligencia artificial (IA) y su creciente impacto en diversos ámbitos de la vida social, económica y jurídica ha planteado la necesidad urgente de establecer marcos regulatorios claros y adecuados. En Chile, esta preocupación se ha traducido en la presentación de dos iniciativas legislativas —una de origen parlamentario y otra del Ejecutivo— que abordan la necesidad de normar el desarrollo, implementación y fiscalización de los sistemas de IA. Ambos proyectos, recientemente refundidos, buscan no solo proteger los derechos fundamentales y garantizar la seguridad de los datos, sino también fomentar un entorno confiable para la innovación tecnológica. Sin embargo, persisten importantes desafíos institucionales y normativos, particularmente respecto de las competencias asignadas a los organismos encargados de supervisar esta nueva legislación. Este texto analiza el contexto, el contenido y las críticas en torno a esta incipiente regulación, así como los riesgos de una gobernanza inadecuada frente a tecnologías de creciente complejidad e impacto.
I. Sobre la regulación legal de la Inteligencia Artificial (IA).
Un primer proyecto, presentado por Moción parlamentaria y contenida en el Boletín N° 15.869-19, buscaba en Chile regular los sistemas de inteligencia artificial, la robótica y las tecnologías conexas, en sus distintos ámbitos de aplicación[i]. El hecho de que la Política Nacional de Inteligencia Artificial adolecía del problema de estar fuera del marco jurídico significó que la Moción constatara esa carencia y buscara (i) regular adecuadamente, a través de las instituciones del Estado, las relaciones que se generen entre particulares, entre personas naturales y jurídicas; (ii) definir los conceptos de que se trata; y (iii) entregar atribuciones de control, autorización y fiscalización a organismos estatales sobre quienes desarrollan y distribuyen estas tecnologías y sus derivados. En esencia, se consideraba que la propuesta iría en la línea de una regulación estatal para toda la actividad.[ii]
Un segundo proyecto, presentado mediante Mensaje del Ejecutivo originó el Boletín N°16.821, busca regular los sistemas de inteligencia artificial y es de mayo del 2024. Ese mes el Ejecutivo abordó dos iniciativas. Se formuló una nueva versión de Política de IA para Chile, y, en segundo lugar, se presentó un proyecto de ley ad hoc o «Sobre Inteligencia Artificial» para el blindaje jurídico, que incluso regula el reconocimiento facial (RF); aprobado que este sea, la Política tendrá relevancia jurídica.
Después del proyecto de ley de la Cámara, que había encontrado críticas y resistencia, el Ejecutivo envió su propio proyecto de ley de regulación integral de la inteligencia artificial, que define los sistemas de IA de manera amplia para aplicar sus obligaciones a proveedores, implementadores, importadores, distribuidores y representantes autorizados en el país, definiendo distintos roles en la cadena de suministro de IA y centrándose más en el uso que en tecnologías específicas.
Al proyecto del Ejecutivo se le han relevado como importantes que protegería derechos fundamentales, que se fiscaliza a través de la Agencia de PDP (en lo que discrepamos), que establece un Consejo Asesor Técnico Permanente en IA y que se crean espacios controlados para probar nuevas soluciones o desarrollos de IA sin trabas.
Se releva que el proyecto de ley del Boletín N°16.821 presenta avances en materia de ciberseguridad, con un enfoque recogido –casi textual- de la normativa europea y basado en la clasificación de los sistemas de IA según su nivel de riesgo, lo que permite aplicar medidas proporcionales para mitigar los posibles daños. La inclusión de sistemas de IA de alto riesgo, con requisitos específicos de seguridad, se visualizó como un paso para proteger la integridad de infraestructuras críticas y la privacidad (léase la confidencialidad, en sentido más amplio) de los datos”[iii].
Se han observado desde la industria de la asesoría en ciberseguridad vacíos en algunos puntos a su parecer claves, a saber, (i) la definición de «incidente grave» sería demasiado amplia, lo que podría generar incertidumbre y dificultar la aplicación de la ley; (ii) la falta de detalles sobre las medidas de seguridad específicas para los sistemas de IA de alto riesgo dejaría un vacío que podría ser explotado dolosamente, por lo cual sería preciso adecuar, madurar y explicitar definiciones para sistemas de alto y limitado riesgo; y, (iii) la ausencia de sanciones específicas para las infracciones a la ley sería otra debilidad importante, porque sin sanciones claras y disuasivas podría ser ineficaz para prevenir el uso intencionalmente doloso de la IA.
Pero claro, se trata de fundamentar que la nueva legislación, regulación e institucionalidad que se proyecta para Chile en el proyecto contribuya a que la inteligencia artificial y el aprendizaje automático del machine learning fortalezcan, especialmente, las capacidades de la ciberseguridad y que los usuarios sepan que los nuevos sistemas son confiables y seguros.
Con fecha 29 de mayo del 2024 la Sala de la Cámara de Diputados acordó refundir los dos proyectos de ley.
II. Sobre la parcialidad de asignar competencia fiscalizadora en materia de IA a la Agencia de Protección de Datos Personales.
Pareciera que los promotores del proyecto no conocen o no analizaron las competencias de una Autoridad de Protección de Datos en el Derecho Comparado, sobre todo si será de poco alcance institucional y presupuestario la contemplada para Chile, la que además dependerá del Ministerio de Hacienda para sus reglamentaciones y no del Ministerio de Justicia, como debía ser. Por cierto, la idea de que una Secretaría administrativa de Gobierno Digital, dependiente de la Administración de turno y de ese Ministerio, tuviera alguna injerencia en materia de protección de datos por sobre la Agencia, es otro diseño que debe descartarse de plano.
Es correcto que el uso de herramientas de IA y en concreto de sus algoritmos pueden afectar el tratamiento de DP. Puede no estar legitimado el tratamiento, puede generar perfiles errados o discriminaciones y se deben evitar los posibles sesgos mal aplicados, y esto debiera poder llegar a ser evaluados administrativa y jurisprudencialmente por una Autoridad ad hoc. La futura Ley de IA en Chile alude a datos personales[iv], pero claro, como también lo hace la Ley 21.663 de Ciberseguridad, y no por eso –porque sería otro despropósito- se le asignan competencias específicas y generales en materia de IA a la Agencia Nacional de Ciberseguridad o ANCI.
¿Una Autoridad de PDP operando en contextos muy diversos, propios de la IA instalada en la Sociedad de los Algoritmos que nos subsume?. Hay acá una economía de costos de transacción y de creación de institucionalidad muy mal entendida, y una recarga de funciones y competencias que afectará a la Autoridad de Datos Personales.
¿Que experticia y competencias tendrán los Consejeros para abordar otras materias de IA no relacionadas con PDP?. ¿Entenderán los alcances de los sistemas de IA Generativa en materia de propiedad intelectual y para tutelar en forma idónea los derechos de los autores?; ¿serán capaces de determinar cuando un sistema de IA es de riesgo inaceptable, cuando –por su intermedio- se permiten o no acciones de ciberseguridad negativa o cuando se vulneran los derechos de los consumidores?; ¿cómo podría una Agencia de PDP, en base a sus competencias, aprobar una instancia de pruebas o de sandbox para el desarrollo de sistemas de IA?[v]; o, ¿qué sensibilidad tendrá respecto de la naturaleza de “información crítica” de los algoritmos en SDA (o sistemas de decisión automatizada) que operan los servicios públicos, y que existen normas legales expresas de Derecho Público que obligan a su resguardo y confidencialidad?[vi].
Justificar que la Agencia sea la autoridad encargada de monitorear y eventualmente sancionar la aplicación de la normativa, se hizo considerando que la base de funcionamiento de cualquier sistema de IA es el uso de datos. Ello no es robusto ni correcto, de partida porque esos datos no serán siempre personales o nominativos, con lo cual perderá naturalmente competencia.
En concreto, según el proyecto deberá (i) fiscalizar el cumplimiento de la ley y su reglamento; (ii) determinar las infracciones e incumplimientos en que incurran quienes contravengan las prohibiciones o no cumplan las obligaciones de la ley; (iii) ejercer la potestad sancionadora sobre las personas naturales o jurídicas que contravengan las disposiciones de la ey y su reglamento; (iv) resolver las solicitudes y reclamos que formulen las personas afectadas contra quienes contravengan las prohibiciones o no cumplan las obligaciones legales.
La opción a todas luces más conveniente sería haber optado por un camino complejo, largo y costoso, el de haber creado una institucionalidad adecuada y exclusiva, vinculada con el Ejecutivo a través del Ministerio de Ciencias (de CTCI), que además concentrara las competencias que se buscan radicar en un Consejo Asesor Técnico Permanente. Esto demandaría presupuesto, funcionarios y competencias nuevas, todo lo cual se evita o se elude si se acude a la futura institucionalidad de la PDP ya creada. Pero la actual, progresiva y futura importancia de las aplicaciones de la IA lo ameritaban con creces.
Esas nuevas competencias de un también nuevo Consejo Asesor Técnico ameritaban la autonomía[vii]. La inteligencia artificial no es –por ejemplo- menos que las exigencias de ciberseguridad, y para asumirlas se generó la ANCI. Para que el nuevo marco normativo opere con una estructura de gobernanza informada y legitimada, se estimó necesario contar con una instancia sólo consultiva de carácter permanente pero asesora del Ministerio de CTCI (un organismo coadyuvante, más no de la Agencia), integrado por representantes del Estado, la academia, la industria de tecnología y la sociedad civil, para abordar materias destinadas al desarrollo, promoción y mejoramiento continuo de los sistemas de IA en el país.
No obstante, hay una identificación con el tema de la IA aplicada al tratamiento de DP, en la realidad empírica y en el proyecto. Se alude por ejemplo a los sistemas de identificación biométrica, de presentarse un tratamiento no autorizado de datos personales, o que se presten para la vigilancia masiva, con el consiguiente potencial de socavar el ejercicio de derechos fundamentales. En concreto desde la perspectiva del tratamiento de DP biométricos desde el año 2024 –precisamente mediante el Boletín N°16.821- se intenta regular el uso de sistemas de RF. Observa el preámbulo que los sistemas de IA basados en técnicas de facial scraping, es decir, aquellos que crean o amplían bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales desde internet o de imágenes de circuitos cerrados de televisión, deben ser regulados debido al riesgo de extracción y tratamiento de datos personales sin consentimiento de sus titulares, además de su falta de transparencia y control. Y esto es correcto.
[i] El proyecto tomó como punto de partida la Ley de Inteligencia Artificial de Europa, del año 2021 y aprobada en marzo del 2024 y en su redacción se tuvo en vista, además, la Política de Inteligencia Artificial de Chile publicada durante el mes de octubre de 2021, como también la modificación a la Constitución Política de la Republica que incluyó el desarrollo científico y tecnológico al servicio de las personas como un principio rector en nuestro ordenamiento jurídico. Puede verse en https://www.camara.cl/legislacion/proyectosdeley/tramitacion.aspx?prmID=16416&prmBOLETIN=15869-19 b
[ii] En efecto, la propuesta es la de que el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación crearía una Comisión Nacional de Inteligencia Artificial, cuyas funciones serían pronunciarse sobre las solicitudes de autorización presentadas por los desarrolladores, proveedores y usuarios de sistemas de IA; desarrollar recomendaciones para mejorar la regulación de los sistemas de IA; elaborar anualmente un informe de sistemas de IA; crear y mantener el registro de sistemas de IA señalado en esta normativa; y pronunciarse sobre los incidentes graves o defectos de funcionamiento.
[iii] Puede verse la URL https://tekiosmag.com/2024/06/11/regulacion-de-inteligencia-artificial-en-chile-avances-y-asuntos-pendientes-en-ciberseguridad/
[iv] Así, por ejemplo, se han formulado, en el proyecto, cinco categorías conceptuales que implican el tratamiento de DP, y considera definir a la “identificación biométrica” como el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual para determinar la identidad de una persona, comparando sus datos biométricos con otros almacenados en una base de datos.
[v] La inclusión de espacios controlados de pruebas para sistemas de IA innovadores es una medida que fomenta la investigación y el desarrollo responsable de esta tecnología, porque ellos permiten a las empresas probar sus sistemas en un entorno seguro, minimizando los riesgos para la seguridad y la confidencialidad de los sistemas.
[vi] Los conjuntos de instrucciones esenciales para el funcionamiento del sistema son activos de información relevantes que no pueden ser expuestos a riesgos y que constituyen o son información sensible y crítica, en los términos del D.S. Nº 83.
[vii] “El artículo 15° señala las principales funciones del Consejo Asesor de IA. Entre ellas se encuentran (i) presentar al Ministro o Ministra CTCI una propuesta de listado de sistemas de IA de alto riesgo y de riesgo limitado, sobre la base de los criterios establecidos en la ley; (ii)asesorar a la Ministra o Ministro de CTCI respecto del alcance y modo de cumplimiento de las reglas a las que deberán sujetarse los operadores de sistemas de IA de alto riesgo y de riesgo limitado; y (iii) presentar a la Ministra o Ministro de CTCI una propuesta relativa al establecimiento de los lineamientos para el desarrollo de espacios controlados de prueba para los sistemas de IA, así como para la fijación de estándares mínimos de cumplimiento y rendición de cuentas para su desarrollo”. (Santiago, 21 de mayo de 2025)
