Regulación de las decisiones automatizadas: el Estado como gran ausente

Una de las principales novedades de la Ley N° 21.719 es la regulación de las decisiones automatizadas. Esta norma, que entra en vigencia el 1 de diciembre de 2026 y que tiene como objetivo reformar nuestra ley de datos personales para elevar el nivel de protección a los titulares y crear una Agencia de Protección de Datos Personales, está explícitamente inspirada por el Reglamento general de protección de datos de la Unión Europea (RGPD).

Pablo Viollier

El artículo 8 bis de la Ley N° 21.719 es una versión modificada del artículo 22 del RGPD y regula aquellas decisiones que son tomadas basándose en el tratamiento automatizado de los datos personales de los titulares, es decir, de forma autónoma o sin participación humana. Con el fin de proteger a las personas ante este tipo de procesamiento automatizado, la legislación establece una serie de requisitos bajo los cuales será lícito tomar decisiones automatizadas respecto de los individuos y entrega a los titulares una batería de derechos particularmente sofisticados. Entre ellos, el derecho a la información y transparencia, a exigir intervención humana, a expresar su punto de vista, a solicitar la revisión de la decisión y el derecho a obtener una explicación respecto de cómo se llegó a una decisión específica.

Todas estas garantías elevan sustancialmente el nivel de transparencia y los criterios de responsabilidad respecto del funcionamiento de sistemas algorítmicos, por lo que la regulación cumplirá un rol crucial en el proceso de transformación digital y modernización del Estado, las empresas y las organizaciones. Especialmente en un contexto en donde cada vez más la evaluación crediticia, la selección de personal, el levantamiento de alertas para detección de fraude, el perfilamiento para fines de marketing y la entrega de beneficios sociales es entregada, con distintos niveles de autonomía, a la decisión de sistemas algorítmicos o basados en tecnología de inteligencia artificial.

Chile no se limitó solo a replicar el contenido del artículo 22 del RGPD, sino que recogió la retroalimentación de los expertos que participaron del proceso legislativo y las lecciones que la jurisprudencia europea y el pronunciamiento de sus distintos organismos de control administrativo han dejado en la materia. Así, la legislación chilena no exige que la decisión se base “únicamente” en el tratamiento automatizado de datos, lo que en Europa fue interpretado como un riesgo de permitir que un nivel de participación humana nominal o simbólica deje a las personas fuera de la aplicación de la regulación.

Adicionalmente, el artículo 8 bis redujo el nivel de afectación que los titulares deben experimentar para estar protegidos por esta figura, solo exigiendo que estos sufran un “impacto significativo”. Por último y más relevante, la ley chilena consagra explícitamente el derecho a una explicación como derecho de los titulares, obligando a los responsables a ser capaces de fundamentar y describir bajo qué criterios, parámetros y mecanismos el sistema arribó a una decisión particular que afectó al individuo.

La gran sorpresa de la Ley N° 21.719 se encuentra en el artículo 21 inciso final. Este artículo establece taxativamente aquellas secciones de la ley que son aplicables a los organismos públicos. ¿El gran ausente? El artículo 8 bis. Es decir, el esfuerzo más importante y sofisticado que nuestra legislación ha emprendido para entregar a los individuos herramientas para proteger sus derechos, exigir transparencia y objetar con conocimiento de causa las decisiones que los sistemas algorítmicos y de inteligencia artificial toman respecto de ellos excluye completamente de su aplicación a todos los organismos de la administración del estado.

Esta decisión de política pública es paradójica, si tenemos en consideración que el Estado es el mayor procesador de datos personales en nuestro país y muchas veces el más negligente. Basta revisar el repositorio creado por el GobLab de la UAI titulado “Algoritmos Públicos” para darse cuenta de que el uso de decisiones automatizadas y de inteligencia artificial que puede afectar significativamente a los individuos no es algo eventual, sino que el Estado ya tiene implementados hoy muchas de estas herramientas.

Permitir a los individuos conocer la forma en los sistemas automatizados toman decisiones que los afectan, objetar dichas decisiones y ejercer sus derechos respecto de empresas y organismos privados, pero no respecto del Estado constituye una discriminación arbitraria que deja a los ciudadanos en una situación inaceptable de indefensión. Subsanar esta situación debería ser una prioridad para la nueva Agencia de Protección de Datos Personales, ya sea proponiendo al Presidente de la República la dictación de una ley corta que incluya a los organismos públicos en la aplicación del artículo 8 bis o a través de una instrucción general similar a las recomendaciones del Consejo para la Transparencia sobre transparencia algorítmica respecto del funcionamiento de los organismos públicos.

 
Pablo Viollier es doctorando U.Central/U. de Sevilla, coordinador del diplomado en protección de datos personales de la Universidad Central y abogado de DataCompliance.

 
También te puede interesar:
— Nueva ley de datos personales: lecciones desde el viejo continente