El 1 de diciembre Chile entra a la era moderna de protección de datos. Con 16 años de retraso, eso sí. Llevábamos un cuarto de siglo con la 19.628, escrita cuando Windows 98 era novedad y Google ni siquiera era verbo.
Lo que cambia es serio. Las multas dejan de ser un chiste: pasamos de 50 UTM (unos 4 millones) a hasta 20.000 UTM, 1.430 millones por infracción gravísima. Para empresas grandes puede llegar al 4% de las ventas en Chile. Por fin el costo de fallar se acerca al daño real al ciudadano.
Se crea la APDP, una agencia que fiscaliza y sanciona. Hoy si alguien filtra tus datos tienes que ir tú mismo a un juzgado civil. Mañana denuncias y la agencia investiga.
Y aparece un derecho que me llama particularmente la atención: el de no ser objeto de decisiones automatizadas y a recibir explicación humana. Si un banco te niega un crédito porque un algoritmo te clasificó mal, vas a tener derecho a que un humano te explique por qué. Eso es vanguardia.
Donde se rompe el optimismo
La ley se empezó a redactar en 2017. ChatGPT salió en noviembre de 2022. La ley se publicó dos años después, en diciembre de 2024, sin tocar de fondo el problema que trajo la IA generativa. Y entra en vigencia en diciembre de 2026, en un mundo donde lo que era ciencia ficción hace cuatro años hoy lo hace cualquier persona con una suscripción de veinte dólares.
Mira lo que estalló esta semana. Rutify: un sitio que toma filtraciones antiguas, las cruza, y las sirve en un buscador amigable. Cualquiera escribe un RUT y obtiene nombre, dirección, teléfono, antecedentes médicos. La materia prima ya circulaba en Telegram hace años. Lo nuevo es que con plataformas como Lovable o Replit y un modelo de lenguaje, una persona sin formación técnica avanzada monta ese sitio en una tarde.
Y desde mi trabajo en cómputo forense, te lo aseguro: esto no es teoría. Veo bases circular desde 2017 que cada año se “limpian”, se cruzan con dumps nuevos, y vuelven al mercado más completas. Lo que cambia con la IA es la velocidad y quién puede hacerlo. Antes era un equipo. Hoy es una persona con curiosidad y conexión a internet.
¿La 21.719 lo cubre? Técnicamente sí, en el papel. La aplicación extraterritorial está, la consolidación de datos cae en “tratamiento”, el régimen sancionatorio aplica. Pero la ley está pensada para regular cómo las empresas tratan datos de sus clientes. No para frenar a un actor anónimo, offshore, que monetiza filtraciones de hace cinco años con un script generado por IA en treinta segundos.
¿Basta?
Yo creo que la 21.719 es la ley que Chile necesitaba en 2010. Es la que tendremos en 2026. Y el desafío del 2027 va a ser otro: cómo regulamos el uso de IA generativa sobre datos personales. Cómo le ponemos límites a los modelos. Quién responde cuando un agente autónomo decide cruzar lo que no debía cruzarse.
Esa segunda batalla todavía no empieza. Y deberíamos estar pensándola ya.