Columnas

Cuando la IA avanza: Los datos indeterminables que empujan al derecho más allá de lo convencional

Equipo EstadoDiario febrero 10, 2026

Por Valentina Novoa Hales*

El miércoles 28 de enero recién pasado, en el contexto de la conmemoración del Día de la Protección de Datos, la AGPD reunió en la Universidad Adolfo Ibáñez a profesionales de distintas disciplinas que trabajan con datos, con el objetivo de debatir sobre las tensiones más relevantes que hoy plantea su uso y tratamiento desde miradas diversas.

Valentina Novoa Hales

Dentro del debate, me llamó gratamente la atención el consenso en torno a la existencia de un cambio de paradigma en la forma en que concebimos los datos personales: el desplazamiento desde una noción estática del dato hacia una comprensión dinámica, contextual e inferencial (data deducida, estimada o concluida por un sistema – normalmente una IA- a partir de otros datos) de su tratamiento en la sociedad digital. Sin ir más lejos, Marcelo Drago lo expresó con claridad al señalar que “las personas son sus datos”.

A mi juicio, esta afirmación —más que una consigna o un estandarte propio de quienes se dedican a la protección de datos— constituye la constatación de un giro estructural que esta disciplina está experimentando de manera acelerada. En entornos digitales mediados por inteligencia artificial, la identidad, la autonomía y la experiencia de las personas se construyen —y se exponen— a través de flujos de información cada vez más difíciles de delimitar. Este fenómeno no solo tensiona los marcos regulatorios existentes, sino que obliga a repensar los fundamentos mismos de la protección de datos.

La expansión del dato: observación, inferencia y contexto

Uno de los ejes que más llamó mi atención durante el seminario fue el planteado por la CEO de Theodora IA, María José Martabit, en torno a la necesidad de anticiparse a lo que ya está ocurriendo. No se trata de escenarios hipotéticos o futuristas, sino de desarrollos concretos que hoy se investigan en laboratorios de innovación como Apple Labs, Meta Labs o Nike Labs.

Los ejemplos discutidos en el panel hablan por sí solos. Meta explora sistemas capaces de procesar datos del entorno visual del usuario; Nike desarrolla dispositivos que ajustan su comportamiento a partir de datos fisiológicos y conductuales para mejorar el rendimiento deportivo; y Apple experimenta con tecnologías tipo Apple Lens, basadas en visión aumentada y procesamiento contextual del entorno en tiempo real. En todos estos casos, la IA no espera una instrucción explícita: observa, interpreta e infiere.

El dato personal deja así de ser únicamente aquel que el titular entrega de forma consciente. En su lugar, emerge un conjunto de datos observados e inferidos —dirección de la mirada, patrones de atención, elementos del entorno, interacciones espontáneas— cuya calificación jurídica resulta especialmente compleja.

Este escenario vuelve particularmente relevante el debate sobre los llamados conceptos jurídicos indeterminados, y profundizó mis dudas respecto de cómo proteger estos datos que constituyen parte esencial de lo que somos. ¿Es dato personal aquello que una IA infiere a partir del eye-tracking? ¿Lo es una emoción deducida de patrones biométricos? ¿Qué ocurre con los terceros que aparecen incidentalmente en el campo visual de un dispositivo —los denominados bystanders— sin haber interactuado con la tecnología ni prestado consentimiento?

La investigación académica en torno a las augmented reality glasses ha sido consistente en advertir que estos sistemas capturan información altamente sensible, incluso cuando no existe identificación directa. El problema no reside únicamente en la recolección, sino en la incertidumbre sobre los usos futuros, las inferencias posibles y la dificultad práctica de ejercer control sobre esos flujos de datos. Esto conduce inevitablemente a una pregunta incómoda: ¿puede la regulación, por sí sola, proteger adecuadamente a las personas frente al uso no autorizado de sus datos en contextos de interacción espontánea?

Posibles respuestas desde los cuerpos regulatorios: ampliación, pero también límites

Desde la experiencia comparada, la respuesta ha sido matizada. En Europa, el Reglamento General de Protección de Datos (GDPR) ha sido interpretado de manera amplia para incluir datos observados e inferidos, reconociendo que la identificabilidad puede surgir del contexto y de los medios razonablemente disponibles. Sin embargo, los propios reguladores europeos han reconocido las dificultades de aplicar principios como el consentimiento informado o la minimización en escenarios de captura continua y contextual.

En Estados Unidos, donde se concentran muchos de los desarrolladores de estas tecnologías, el enfoque ha sido históricamente más fragmentado y reactivo, confiando en la autorregulación y en la intervención ex post de agencias como la Federal Trade Commission. Este contraste ha reforzado la idea de que la regulación, aunque necesaria, no es suficiente por sí sola.

Soluciones desde la academia: integridad contextual y diseño

La academia también ha abordado estas controversias proponiendo marcos conceptuales alternativos, particularmente útiles al momento de pensar cómo abordar el uso de datos por la IA que ya está en desarrollo. La integridad contextual se presenta como una de las aproximaciones más relevantes, al desplazar el foco desde la titularidad del dato hacia la adecuación de su uso al contexto en que se genera.

Bajo esta lógica, la legitimidad del tratamiento no depende únicamente de la existencia de consentimiento, sino de si el flujo de información respeta las expectativas razonables de las personas involucradas. Este enfoque resulta especialmente sugerente para tecnologías como Apple Lens: observar el entorno puede ser aceptable en un contexto médico o de accesibilidad, pero profundamente invasivo en un espacio público o laboral. La pregunta jurídica deja así de ser binaria y pasa a ser contextual. Con todo, persisten dudas relevantes respecto de la trazabilidad de los flujos de datos y la efectividad real de la fiscalización.

Soluciones técnicas más allá del consentimiento

Los estudios empíricos en la materia coinciden en que el consentimiento tradicional resulta insuficiente para estos escenarios. En respuesta, se han desarrollado soluciones técnicas de protección de la privacidad (privacy-enhancing technologies) que operan incluso cuando el consentimiento no es viable o significativo.

Entre estas soluciones destacan el procesamiento en el dispositivo (on-device processing), que evita la transmisión de datos sensibles a servidores externos; los mecanismos de señalización y awareness para alertar a terceros cuando un dispositivo puede estar capturando información; y los controles granulares que permiten modular qué se captura, cuándo y con qué finalidad. Estas soluciones no eliminan el riesgo, pero sí reducen la asimetría de poder inherente a estas tecnologías, mitigando parte de sus impactos.

Modelos de gobernanza y sandboxes regulatorios

Desde el plano institucional, algunos países han optado por mecanismos de experimentación regulada. Corea del Sur, por ejemplo, ha incorporado sandboxes regulatorios que permiten probar sistemas de IA bajo supervisión, evaluando riesgos antes de su salida al mercado. Este enfoque resulta útil desde una perspectiva preventiva, pero también evidencia que no todo puede anticiparse ex ante y que la regulación deberá evolucionar junto con la tecnología.

Singapur ha seguido una línea similar, desarrollando guías específicas para el uso de datos personales en sistemas de recomendación y decisión automatizada, con énfasis en evaluaciones de impacto, transparencia significativa y salvaguardas reforzadas para sistemas de alto impacto. Fiel a la lógica que ha caracterizado a esta jurisdicción, se opta menos por prohibiciones y más por estándares claros de diligencia para desarrolladores y operadores de IA.

Conclusión

A casi una década del auge de la IA basada en datos masivos, algunas certezas comienzan a consolidarse. Existe consenso en que los datos contextuales y las inferencias pueden ser tan sensibles como los datos explícitos, y en que la regulación que conocemos hasta ahora requiere mecanismos complementarios que permitan abordar los riesgos asociados a la evolución de la inteligencia artificial.

Con todo, persisten zonas grises: la protección de terceros no usuarios, la atribución de responsabilidades en cadenas complejas de procesamiento y la legitimidad de inferencias que nadie solicitó explícitamente. Tecnologías como Apple Lens no solo desafían la regulación existente; desafían nuestra comprensión misma de la privacidad.

Si, como se afirmó en el seminario, las personas son sus datos, entonces protegerlos no es solo una cuestión de cumplimiento normativo, sino de diseño institucional, tecnológico y democrático. Cuando los límites se vuelven difusos, la pregunta ya no es únicamente cómo regular mejor, sino cómo combinar regulación, tecnología y gobernanza para preservar la autonomía de las personas en la sociedad digital.

*Valentina Novoa Hales es abogada y consultora legal-estratégica especializada en regulación financiera, fintech y libre competencia. Cuenta con más de 10 años de experiencia en el sector público, estudios jurídicos y consultoría estratégica en una compañía global.

Equipo EstadoDiario

Artículos relacionados

marzo 14, 2025

Nuevo rol, nuevas oportunidades para las mujeres: las futuras Delegadas de Protección de Datos

junio 19, 2025

Abandono del procedimiento y las acciones revocatorias concursales

mayo 2, 2024

¿Responsabilidad de la empresa por delitos cometidos por proveedores?

diciembre 4, 2022

Fallo sobre el Río Silala. ¿Anticipo de una relación renovada Chile-Bolivia?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

© Estado Diario 2026, Derechos reservados
Close
Close