Inteligencia Artificial y Protección de Datos – Lo que exige ahora la Ley

Con base en estadísticas oficiales, las que actualmente muestran un crecimiento en la adopción de sistemas basados en inteligencia artificial (IA) por parte de organizaciones que hacen tratamiento masivo de información, la Superintendencia de Industria y Comercio (SIC) emitió la Circular Externa 002-2024, para establecer directrices específicas que permitan garantizar el respeto de los derechos de los titulares en entornos digitales automatizados.

Desde su emisión, ya ha pasado un año; es decir, las organizaciones públicas o privadas que hacen uso de herramientas IA ya deberían haber implementado todos los ajustes requeridos; y además,  las empresas que estén contratando con tales organizaciones para gestionar sus procesos ya deberían tener los elementos de control debidamente dispuestos, los que incluyen medidas adicionales de transparencia, proporcionalidad y responsabilidad. 

Veamos los documentos o elementos con los que debería ya contar tu organización:

• Una evaluación de Impacto en Protección de Datos (EIPD) que revela todas las brechas del uso de esa tecnología, y las medidas para mitigarlas.
• Un protocolo de transparencia algorítmica, el cual explica de forma clara y accesible cómo se toman decisiones automatizadas cuando éstas afectan al titular.
• Un protocolo que asegura el principio de privacidad por defecto desde el diseño, y garantiza que los sistemas recojan solo los datos estrictamente necesarios.
• Un control que facilite la intervención humana en decisiones automatizadas, especialmente cuando estas tengan efectos jurídicos o significativos sobre el titular.
• Un mecanismo de notificación al titular cuando sus datos vayan a ser tratados mediante IA, el que además deberá informarle fines, riesgos y derechos que le asisten.

Implicaciones para empresas que usan IA

Las organizaciones que emplean IA deben asumir una responsabilidad reforzada en el tratamiento de datos, esto implica:

• Disponer de un programa de auditoría sobre los sistemas de IA para verificar que no generen sesgos, discriminación o decisiones opacas.
• Disponer de un programa de capacitación a sus equipos técnicos y legales sobre protección de datos en ambientes con IA, junto con ética algorítmica.
• Disponer de políticas de privacidad actualizadas que incluyan referencias explícitas al uso de IA.
• Tener formalizados los contratos con terceros que incluyan cláusulas de cumplimiento normativo en materia de datos personales tratados con IA.

El incumplimiento de estas obligaciones, que tienen límite de implementación hasta Agosto de 2025, puede derivar en sanciones económicas y administrativas, incluyendo el cierre de operaciones de la organización. Esto no solo tiene un impacto legal y operativo sino de reputación.

Pero la reglamentación no solo aplica para quienes usan directamente IA, sino para quienes tercerizan algunos servicios con proveedores que hacen uso de ella. Al respecto la circular indica que las organizaciones que no desarrollen ni operen directamente la IA, pero que contraten servicios tecnológicos que sí la empleen deberán contar mínimo con los siguientes elementos en su programa de gestión y protección de datos personales:

• Un sistema de verificación del cumplimiento de la Circular 002 hacia los proveedores, incluyendo la realización de la evaluación de Impacto y el programa de transparencia algorítmica.
• Un conjunto de cláusulas contractuales específicas sobre protección de datos personales en entornos automatizados con IA.
• Un sistema de notificación a titulares que informe que sus datos serán tratados por terceros mediante IA, y cómo se pueden ejercer sus derechos de Habeas Data y presentación de PQRs.

La Circular enfatiza en que  la responsabilidad no se puede delegar, por lo que la empresa contratante sigue siendo responsable frente al titular y ante la SIC en entornos IA.

¿En qué casos se debe tener especial cuidado?

La Circular 002 identifica situaciones de riesgo elevado en el tratamiento de datos mediante IA, por lo que exige especial diligencia cuando se involucra lo siguiente:

• Decisiones automatizadas que afecten derechos fundamentales, como acceso a crédito, empleo, salud o educación.
• Tratamiento de datos sensibles, como orientación sexual, creencias religiosas, estado de salud o antecedentes penales.
• Segmentación de usuarios para fines comerciales, especialmente cuando se emplean perfiles automatizados.
• Uso de tecnologías de reconocimiento facial, biometría o geolocalización, que pueden implicar vigilancia o control.

En estos casos, la organización debe justificar la necesidad del tratamiento, aplicar medidas de mitigación de riesgos, y garantizar mecanismos efectivos para que el titular pueda oponerse o solicitar revisión humana.

Es de establecer que la Circular 002 de 2024 marcó un hito en la regulación del uso de inteligencia artificial en Colombia, alineándose con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Su enfoque preventivo y garantista exige que las organizaciones, sin importar su tamaño o sector, adopten una cultura de protección de datos que combine innovación con respeto por los derechos fundamentales.