Cámara de Diputados - Comisión de Ciencias - 26 de marzo de 2025

La sesión. El acta de la sesión 88 queda reglamentariamente aprobada. El acta de la sesión 89 se pone a disposición de los señores integrantes de la Comisión. La señora secretaria, o el señor secretario, perdón, dará lectura a la cuenta. Buenos días, presidenta. Buenos días a todos los diputados y la ministra. Se han recibido los siguientes documentos para la cuenta, Presidenta: una comunicación suscrita por la diputada Marcela Riquelme y el diputado Johannes Kaiser, por la cual informan que han acordado un pareo para la presente sesión, para los efectos del boletín que está en votación; y un oficio del director de la Biblioteca del Congreso Nacional, mediante el cual se ofrece a la Comisión una presentación de 15 minutos, denominada Mujeres Científicas Chilenas, que está disponible en un link adjunto y que ha sido elaborado por el equipo del Boletín Legislativo Mujeres y Géneros de la Biblioteca del Congreso Nacional. Eso es todo, Presidenta. Muchas gracias. ¿Se ofrece la palabra sobre la cuenta? No. Yo voy a tomar el punto dos: un oficio del director de la Biblioteca del Congreso Nacional ofrece venir a la Comisión a realizar una presentación por 15 minutos del sitio Mujeres Científicas Chilenas. Podríamos recibirlo en la próxima sesión para tener conocimiento de lo que se trata. ¿Alguien tiene algún punto varios? ¿De este acaso? ¿No? ¿No? ¿No? Ok. Vamos entonces con la orden del día. Entrando en el orden del día, esta sesión especial ha sido citada con el objeto de continuar con la votación en particular del proyecto de ley que regula los sistemas de inteligencia artificial, en primer trámite constitucional, con urgencia calificada de “suma”. Hemos invitado a la ministra de Ciencia, Tecnología, Conocimiento e Innovación, señora Aisén Etcheverry Escudero, quien es acompañada por las asesoras legislativas Camila Guayo y Paloma Herrera. Vamos entonces a pedirle a nuestro secretario si nos puede comunicar en qué artículo o letra quedamos en la última sesión. Sí, Presidenta, estamos en el artículo 8 del proyecto de ley, votando la indicación en la página número 29 del comparado, designada con la letra H, para reemplazar el literal G por el siguiente texto: “Precisión, solidez y ciberseguridad. El funcionamiento de los sistemas de inteligencia artificial de alto riesgo deberá respetar el principio de seguridad desde el diseño y por defecto, debiendo contar con un nivel adecuado de precisión, resiliencia, seguridad y ciberseguridad, funcionando de manera fiable, predecible y resiliente, garantizando su seguridad y resistencia a incidentes durante todo su ciclo de vida. El cumplimiento de estos requisitos deberá garantizarse mediante la implementación de medidas de seguridad alineadas con lo dispuesto en los artículos 3, 7 y 9 de la Ley número 21.663, ley marco de ciberseguridad.” Hasta ahí la letra G, Presidenta.

El Ejecutivo, señora Ministra. Gracias, señora Presidenta. Las modificaciones que nosotros planteamos desde el Ejecutivo tienen que ver con temas de redacción y consistencia con las modificaciones que se hicieron en los primeros artículos, y además, para complementar y hacerlo consistente con la Ley Marco de Ciberseguridad, se agrega la referencia a los artículos 3, 7 y 9 de la ley, que corresponden a los principios rectores, deberes generales y deberes de reportar, y de esa forma vamos armonizando estos dos cuerpos legales. Muchas gracias, Ministra. Ofrezco la palabra al diputado Lago Marcini. Muchas gracias, Presidenta. Yo creo que aquí esto está muy ligado con lo que veíamos en gobernanza de datos. Parece un poco reiterativo en cuanto a los incidentes de seguridad que se describen en dicha materia versus lo que se plantea aquí respecto a ciberseguridad. Preguntaré, a través de la Ministra, cuál vendría siendo la diferencia entre la gestión de incidentes de seguridad de la información que se plantea en la letra B, que ya aprobamos, y la ciberseguridad y las medidas que se plantean en la letra G. Muchas gracias. Gracias, diputado. Ministra, a ver, la razón por la que se separan ambos elementos es porque, en materia de datos, existe una regulación específica y, por la naturaleza misma del tema a tratar –en este caso, los datos– se establecen requerimientos de seguridad en torno a ese componente. Cuando hablamos de solidez y ciberseguridad, nos referimos al diseño de los algoritmos y a su funcionamiento en específico, no a los datos con que se tratan, entendiendo que son materias distintas y, por lo tanto, se separan para complementarse mutuamente. En términos prácticos, una cosa es la gobernanza de datos. Voy a dar un ejemplo que nos está sucediendo ahora: nosotros, desde el Ministerio de Ciencia, tenemos el mandato de gestionar la información científica que existe en el país, incluyendo a quienes participan del Sistema de Ciencia y Tecnología. Por ello, estamos creando un convenio de colaboración con la Agencia Nacional de Investigación y Desarrollo para que nos entregue los datos necesarios para esa gestión. En ese ámbito, debemos contar con una gobernanza de datos que nos indique cuándo es necesario anonimizar, si se anonimiza, en qué medida puede revertirse, y quiénes tendrán acceso a esos datos específicos, entendiendo que hay datos protegidos por patentes, datos personales, etc. Posteriormente, con esos datos, estamos implementando un sistema de inteligencia artificial que nos permite hacer reportería de información, por ejemplo, para apoyar políticas públicas. Pero en ese segundo aspecto, lo que necesitamos es contar con firewalls para evitar que el sistema sea hackeado, mecanismos de reportería –en caso de que el algoritmo incorpore información distinta a la solicitada– y sistemas de control de acceso, de forma que sólo un grupo de funcionarios tenga acceso a la información que entrega el algoritmo, y no otros, quienes son los responsables de la gobernanza de datos. Entonces, entendiendo que la gobernanza de datos tiene su propia naturaleza y los algoritmos otra, se separan ambos principios. Muchas gracias, Ministra. Ofrezco la palabra al diputado Labra. Muchas gracias. Una consulta de forma: en el literal G, que corresponde a precisión, solidez y ciberseguridad, al final hay dos párrafos genéricos para todos los literales anteriores. ¿Se están viendo separados? Consultaré al Ejecutivo – y aprovecho para saludar cordialmente a la Ministra y a sus asesores –: ¿a qué nos referimos cuando decimos que los sistemas de inteligencia artificial deben contar con un nivel adecuado de resiliencia y que deben funcionar de manera resiliente? Muchas gracias.

Sí, hay que recordar que estamos en sistemas de alto riesgo y, en el caso de éstos, siempre hemos establecido que lo miramos desde la desconfianza que tenemos del sistema, ya que puede incidir en derechos fundamentales y, por lo tanto, debemos aplicar ciertos resueltos. Además, es cierto que los sistemas de alto riesgo se utilizan en situaciones críticas, especialmente en temas vinculados a la salud, como hemos ejemplificado en numerosas ocasiones. Por ello, es esencial que dichos sistemas cuenten con mecanismos que impidan que se caigan. Si, por ejemplo, se utiliza un sistema de IA que apoya el diagnóstico de pacientes críticos, este no puede caerse y quedar inoperativo por dos o tres días, ya que debe contar con mecanismos que permitan su funcionamiento incluso en condiciones adversas. En términos técnicos, esto se denomina resiliencia. Es el mismo término que se usa al referirse a las redes de conectividad, donde la recomendación y las buenas prácticas exigen la existencia de más de una conexión para garantizar que, si se corta un cable, otro permanezca activo y se mantenga el acceso al sistema. En contraste, en los sistemas de IA de bajo riesgo, la interrupción del servicio, aunque molesta, no genera una incidencia negativa tan grave. Muchas gracias, ministra. Ofrezco la palabra. Vamos entonces a pasar a la votación de este párrafo de la letra H. Ok, estamos en votación entonces. Presidenta, esta indicación resulta aprobada por cinco votos a favor. Continuamos con el siguiente párrafo. Se sigue dentro del artículo octavo, con un párrafo segundo, en este caso, perdón, con el inciso segundo, ya que el artículo octavo comienza con un encabezado que abarca las letras A a la G, las cuales ya han sido despachadas. El inciso segundo dice de la siguiente manera: "En cualquier caso, para el cumplimiento de las reglas precedentes, se podrán establecer estándares diferenciados en virtud del tipo de operador y en consideración a su tamaño, especialmente teniendo en consideración las características y necesidades de las empresas de menor tamaño, tal como se define en la Ley número 20.416 que fija normas especiales para las empresas de menor tamaño. Cuando un sistema de inteligencia artificial de alto riesgo no se ajusta a las reglas previstas en la presente ley, el operador adoptará inmediatamente las medidas necesarias para desactivarlo, retirarlo del mercado o suspenderlo. Estas medidas se encontrarán establecidas dentro del sistema de gestión de riesgos del respectivo sistema de inteligencia artificial de alto riesgo y serán diseñadas de conformidad con su finalidad de uso. La APDP y/o la ANSI, en el ámbito de sus competencias, podrán requerir a los operadores de sistemas de inteligencia artificial de alto riesgo procedimientos específicos de fiscalización respecto a la materia regulada en la presente ley, cuando existan indicios de incumplimiento de la normativa vigente o riesgos potenciales para el ejercicio de los derechos fundamentales." Y ahí termina el artículo precedente. Muchas gracias, secretario. Le doy la palabra a la ministra. Muchas gracias, presidente. A ver, los tres párrafos tienen tres objetivos distintos. El primero se refiere y es parte del conjunto de medidas que están en el proyecto de ley para hacerse cargo, sobre todo, de las startups que están en proceso de crecimiento, tema que hemos discutido largamente durante las sesiones anteriores. La idea es que, evidentemente, se adapten e incorporen las reglas que establece el proyecto de ley, pero en la determinación del contenido de esas obligaciones, que es lo que le corresponde al Consejo Asesor.

Establece el proyecto, es necesario considerar que existen etapas de prueba, que existen empresas más pequeñas y que, por lo tanto, tienen que adaptarse a esas necesidades y requerimientos específicos. El segundo párrafo, en su segundo inciso, básicamente incorpora el contenido que estaba en el antiguo artículo 9; de hecho, la indicación del Ejecutivo fue eliminarlo para dotarlo de consistencia y hacerlo coherente con las definiciones aprobadas en los primeros artículos del proyecto de ley. El tercer inciso, el último, se refiere al conjunto de indicaciones destinadas a armonizar la regulación de inteligencia artificial con la de protección de datos personales y de ciberseguridad, entendiendo que dichas agencias serán responsables de la fiscalización de las normas establecidas en este proyecto. Por ello, es importante que dispongan de las facultades necesarias para intervenir o trabajar conjuntamente con las empresas y establecer procedimientos específicos que permitan dicha fiscalización. ¿Tengo la palabra, diputada Laura? Algunas consultas específicas: en el primer párrafo de lo que estamos discutiendo, ¿se podrán establecer estándares diferenciados? La ministra explicó que esto tiene que ver con los distintos tamaños de empresa –considerando, por ejemplo, a las startups– y que dichos estándares se establecerán mediante un reglamento que definirá el Consejo Asesor responsable del proyecto. Otra consulta se refiere al segundo párrafo, que señala que, cuando el sistema no se ajuste a las reglas previstas en la ley, el operador adoptará medidas para desactivarlo, retirarlo del mercado o suspenderlo. Quiero precisar lo de “suspenderlo”: antiguamente, antes de esta indicación, se planteaba recuperarlo. Es decir, cuando hablamos de suspender, desactivar o retirar, implica que se ha acabado el desarrollo, pues no existe la posibilidad de corregirlo y volver a implementarlo; en otras palabras, el sistema ha “muerto”. Y, en tercer lugar, se menciona que también se establecerán los aspectos correspondientes al sistema de gestión de riesgos del respectivo sistema; no recuerdo en qué parte de la ley aparece esta obligación para el operador, por lo que agradecería se me recordara. Le doy la palabra al diputado Lago Martino y, posteriormente, a la ministra. Ok, ministra. A ver, respecto de la primera pregunta: el proyecto de ley contempla este Consejo Asesor Ministerial en materia de inteligencia artificial en unos artículos que se encuentran un poco más adelante. Cabe recordar que se discutió ampliamente y se recibieron numerosos comentarios de expertos. Inicialmente, el consejo estaba compuesto esencialmente por organismos públicos, pero las indicaciones presentadas lo transformaron en un organismo más técnico, con participación de la academia y de la sociedad civil. Dicho organismo tiene por mandato formular recomendaciones al Ministerio de Ciencia, Tecnología, Conocimiento e Innovación respecto del contenido de las obligaciones, y este Ministerio tiene la obligación de incorporar dichas recomendaciones en los reglamentos correspondientes. Además, se establecen normas transitorias y un mecanismo escalonado de acciones por parte tanto del comité como del ministerio, de manera que las reglamentaciones reflejen el estado de la técnica y, a la vez, permitan un plazo para su implementación por las empresas. Por ello, los criterios relacionados con el tamaño de la empresa –para efectos de determinar qué contenido se debe entregar en las obligaciones– deben trabajarse a nivel técnico por el comité y luego plasmarse en un reglamento ministerial. Respecto de la segunda pregunta, efectivamente existen casos en que resulta necesaria tanto la suspensión como la corrección, siendo estas medidas distintas de la retirada del mercado o la desactivación. Se agrega la posibilidad de corregir los errores, de modo que el sistema no tenga que “morir” a causa de una primera falla, sino que puedan implementarse las correcciones. Sin embargo, al existir la falla, es fundamental impedir el acceso al sistema, por lo que se opta por suspenderlo. Por último, en relación con la tercera pregunta, los sistemas de gestión de riesgos están establecidos en la letra A del artículo 8, en la cual se define qué son, cómo deben funcionar y se fija la obligación específica para las empresas. Muchas gracias.

¿Habla con Martínez? ¿No? ¿Ofrezco la palabra antes de pasar a votación? ¿De qué tal habla? Solamente me queda la duda respecto a suspenderlo, porque antes estaba la posibilidad de recuperarlo. Entonces, recuperarlo se entiende como que se puede corregir, digamos. Para mí, suspenderlo significa suspenderlo y no volver a activarlo, es decir, no me queda claro si esto deja en evidencia que se puede suspender y, posteriormente, poner en implementación o activarlo cuando el problema haya sido corregido. Sí, ministra, también tengo una pregunta. Si nos pudiesen aclarar quién va a ser el organismo encargado de garantizar la desactivación, la suspensión o el retiro del sistema de mercado dentro de los plazos, cuáles serán los requisitos, etcétera, y también si habrá sanción de por medio, porque de repente hemos visto —voy a dar un ejemplo que quizá no vaya mucho en línea— que, cuando por ejemplo se discute acá la ley Chao Cable, finalmente vemos que existe una ley pero hoy día nadie se hace cargo; la basura aérea es interminable y nadie se responsabiliza. Entonces, sería bueno aclarar ese punto. Sí, a ver, respecto de la suspensión lo entendemos igual. No sé si bastará consignarlo en la historia de la ley, dado que la suspensión tiene un carácter transitorio, precisamente porque permite la reincorporación después. No creo que tengamos diferencias de fondo y, por supuesto, estamos dispuestos a mejorar la reacción. Respecto a quién ejecuta el proceso de fiscalización, el proyecto plantea la fiscalización con un principio general y, a continuación, un órgano a cargo de llevarla adelante. El principio general es que no existe fiscalización ex-ante, es decir, las empresas son responsables por sí mismas de cumplir todo lo aquí establecido. En este caso, la empresa o el operador del sistema de inteligencia artificial que se encuentre en la situación descrita en las letras anteriores deberá, por sí mismo y sin que nadie se lo indique, suspender o retirar del mercado el sistema en cuestión. Ahora, en caso de que no lo haga —y por ello este proyecto se diferencia de lo establecido en la Unión Europea, en este punto en particular—, la fiscalización corresponderá a la Agencia de Protección de Datos, que determinará el incumplimiento de la norma. A ello se suman dos medidas: primero, las sanciones, expresadas en UTM y clasificadas en tres niveles dependiendo del tipo de infracción; y segundo, la aplicación de todas las reglas de responsabilidad civil y, en consecuencia, la indemnización por perjuicios, según se dejó en la primera parte de la discusión y conforme a la regla general, pero establecido específicamente en las normas posteriores del sistema. En resumen, la empresa debe cumplir con lo estipulado; nadie exigirá su cumplimiento antes de ingresar al mercado, pero si ocurre una infracción, la Agencia de Protección de Datos intervendrá, aplicando multas e indemnización a la empresa. Muchas gracias. ¿Estamos de acuerdo? ¿Alguna duda? Pasamos entonces a la votación. Presidenta, se somete a votación la aclaración de los incisos segundo, tercero y cuarto del artículo octavo, entendiendo que el inciso primero, que contenía las letras, ya fue despachado. En votación, los incisos segundo, tercero y cuarto de dicho artículo fueron aprobados por cuatro votos a favor y uno en contra. Muchas gracias.

Indicaciones siguientes al artículo octavo ya quedan, si no retiradas, no votadas, por incompatibles con lo ya aprobado. Nos saltamos, por lo tanto, el artículo 9, y esto está en el treinta y tres, en la página treinta y tres, según una indicación del diputado Kaiser. Primero, la del Ejecutivo para eliminar… Perfecto. Hay una indicación del Ejecutivo que tendríamos que votar en primer lugar para eliminar… Perdón, exactamente: es decir, hay que votar el artículo en su texto original, puesto que el Ejecutivo propone eliminarlo completamente. Entonces, si se aprueba el artículo en su texto original, se entiende que se podrán seguir haciendo las indicaciones; si se rechaza, se asume la propuesta del Ejecutivo. Voy a darle lectura al artículo 9, cuya eliminación propone el Ejecutivo. El artículo 9 dice: “Medidas frente a contingencias. Cuando un sistema de inteligencia artificial de alto riesgo introducido en el mercado o puesto en servicio no se ajuste a las reglas previstas en la presente ley, el operador, asistido por su proveedor de tecnología, cuando sea procedente, adoptará inmediatamente las medidas necesarias para desactivarlo, retirarlo del mercado o recuperarlo. Estas medidas se encontrarán establecidas dentro del sistema de gestión de riesgos del respectivo sistema de inteligencia artificial de alto riesgo y serán diseñadas de conformidad con su finalidad de uso.” Ofrezco la palabra, es algo que ya votamos, pero aún así. Presidenta. Diputado Oyarzo, para aclarar el procedimiento: como la propuesta del Ejecutivo es eliminar completamente el artículo y esa votación hace descartar todas las indicaciones siguientes, voy a dar lectura a las indicaciones alternativas de los diputados Cáceres, Oyarzo y Labra, que reemplazan este artículo o lo modifican parcialmente; y luego, al final, una vez votadas cada una de ellas, si se rechazan, votamos el artículo en su texto original. Procedo a dar lectura de la indicación del diputado Kaiser para sustituir íntegramente el artículo 9 por el siguiente: “Artículo 9. Medidas frente a contingencias. Cuando un uso del sistema de inteligencia artificial de alto riesgo sea introducido en el mercado o puesto en servicio y no se ajuste a las reglas previstas en la presente ley, el operador, asistido por su proveedor de tecnología, cuando sea procedente, adoptará inmediatamente las medidas necesarias para desactivarlo, retirarlo del mercado o recuperarlo. Estas medidas se encontrarán establecidas dentro del sistema de gestión de riesgos del respectivo uso del sistema de inteligencia artificial de alto riesgo y serán diseñadas de conformidad con su finalidad de uso.” En votación, entonces, Presidenta: esta primera indicación del diputado Kaiser. En votación… ¿Está Molina? Su voto, por favor. Presidenta, finalizamos. En definitiva, esta indicación del diputado Kaiser resulta rechazada por cinco votos en contra y una abstención. Muchas gracias. Diputado Lago Martín: Propongo una votación económica para regresar todas las indicaciones, dado que este día ya fue votado y para no dilatar el tiempo, sobre todo pensando que el Ejecutivo ya propuso eliminar este artículo, retirarlo en este día. Entonces, ¿para qué vamos a estar votando una a una las indicaciones? Ok, le voy a preguntar a la diputada Labra, porque hay una explicación de ella y además de un diputado, Yart. Entonces, procedo a dar la palabra primero a la diputada Labra y después al diputado Yart. Muchas gracias, Presidenta, por la consideración. Bueno, yo voy a retirar mi indicación porque se tendría que eliminar por coherencia.

Muchas gracias, diputada. Diputado Ollar. Gracias, presidenta. Yo igual voy a eliminar, ya que el Ejecutivo, como no tiene sentido poner la indicación, así que se eliminará. Muchas gracias, diputado Ollar. Presidenta, procedemos entonces a votar el artículo 9 en el entendido de que la indicación que concita el consenso absoluto es la del Ejecutivo para eliminarlo. Por lo tanto, habría que votarlo en contra para entender que se elimina este artículo. Se finaliza la votación, presidenta, con la unanimidad de seis votos en contra. Se rechaza el artículo 9 y, por lo tanto, los artículos siguientes se renumeran como se indicará en cada caso. Pasamos al nuevo artículo 9, que es el artículo 10 del texto original y que tiene una indicación del Ejecutivo para reemplazar lo íntegro por el siguiente. Leo el nuevo artículo 9 propuesto por el Ejecutivo: Artículo 9. Seguimiento posterior a la implementación, puesta en servicio, distribución e introducción en el mercado de sistemas de inteligencia artificial de alto riesgo. Es el título del artículo. Los operadores establecerán y documentarán un sistema de seguimiento que sea proporcional y adecuado a la naturaleza y riesgos identificados en sus usos. El sistema de seguimiento recabará y analizará datos proporcionados por los operadores o recopilados a través de otras fuentes, con el objetivo de evaluar el funcionamiento de los sistemas de inteligencia artificial de alto riesgo durante toda su vida útil. Este proceso permitirá a los operadores determinar el nivel de cumplimiento de las reglas del artículo 8 de la presente ley. Cuando proceda, el seguimiento posterior incluirá un análisis de la interacción con otros entornos de sistemas de inteligencia artificial, incluidos otros dispositivos y software interconectados que puedan influir en su funcionamiento o generar riesgos adicionales. Muchas gracias, Ministra. Le presto la palabra. Muchas gracias, Presidenta. Lo que se hizo en este artículo, a propósito de toda la discusión que tuvimos en el momento de las definiciones y de los principios respecto de los roles de los distintos actores —el operador, el implementador, en fin— y de las acciones, es que el artículo original hablaba de comercialización, pero en las definiciones aparecieron los términos de puesta en servicio, distribución e introducción al mercado como acciones diferentes. Entonces, se incorporan esos elementos para hacerlo consistente con los principios y con las definiciones que aprobamos en los artículos anteriores. El segundo cambio que se hace tiene que ver con la especificación del software interconectado que pueda influir en el funcionamiento o generar riesgos adicionales. Esto, a propósito de una discusión larga que se ha dado a nivel técnico, pero también en legislación internacional, respecto del efecto que ocurre cuando interactúan dos sistemas de inteligencia artificial entre sí. La interacción entre ellos genera efectos que, en algunos casos, trascienden el objetivo del creador original de esos sistemas. Por lo tanto, en la práctica, lo que ocurre es que en muchos casos, particularmente en los de alto riesgo, se impide la interacción entre sistemas de inteligencia artificial; pero, si las existieren, tienen que considerarse a la hora de evaluar el riesgo, porque, evidentemente, lo amplifica. Gracias, Ministra. Ofrezco la palabra al señor diputado. Gracias, Vicenta. Ya, acá solo una duda de consistencia. Se dice que “el sistema de seguimiento recabará y analizará datos proporcionados por los operadores”. O sea, el sistema de seguimiento es para el propio operador, ¿cierto? Es como si el sistema de seguimiento recabara datos proporcionados por los operadores, lo que resulta redundante al indicar que es para ellos mismos.