Protección de datos en la era de la IA: desafíos y responsabilidades para los responsables de información personal

En la era de la inteligencia artificial (IA), la protección de los datos personales ha adquirido una dimensión crítica, impulsando a las autoridades a reforzar las exigencias sobre los responsables de esta información. Uno de los conceptos clave en este ámbito es el principio de responsabilidad demostrada, que obliga a las organizaciones a implementar rigurosos sistemas de administración de riesgos.

Estos sistemas deben identificar, medir, controlar y monitorear los riesgos asociados al tratamiento de datos personales en los sistemas de IA. No solo se trata de gestionar adecuadamente los datos, sino de alinear todo el proceso con los más altos estándares de seguridad y transparencia.

Desde una perspectiva sancionatoria, el incumplimiento de estas directrices puede tener graves consecuencias para los responsables de datos. Según el artículo 17 de la Ley 1581 de 2012 y los artículos 7, 8 y 9 de la Ley 1266 de 2008, los responsables deben seguir al pie de la letra las instrucciones impartidas por la Superintendencia de Industria y Comercio (SIC).

En este contexto, la Circular Externa No. 002 de 2024, emitida por la SIC, se convierte en un marco obligatorio. Su violación puede acarrear sanciones como multas, suspensión o cierre de actividades relacionadas con el tratamiento de datos. Esto pone de manifiesto la seriedad con la que se deben asumir las regulaciones en torno a la IA y el tratamiento de datos personales.

Es importante destacar que esta nueva circular marca un hito al establecer, por primera vez, lineamientos concretos que vinculan directamente la inteligencia artificial con la protección de los datos personales. No obstante, Colombia ya ha recorrido un largo camino normativo en este sentido.

Entre los antecedentes más relevantes se encuentran el Conpes 3975 de 2019, el Decreto 1263 de 2022 y la Directiva Presidencial 03 de 2021. Incluso, la Sentencia T-323 de 2024 de la Corte Constitucional subrayó que cualquier sistema de IA debe garantizar el estricto cumplimiento de las leyes 1266 de 2008 y 1581 de 2012.

En resumen, los responsables de datos personales se enfrentan a una enorme responsabilidad. La integración de la IA en la gestión de datos no solo requiere una correcta implementación técnica, sino también un firme compromiso con la legalidad y la ética. Las sanciones por incumplimiento, junto con la obligación de adherirse a estándares de veracidad y exactitud, exigen que las organizaciones replanteen sus sistemas de protección de datos, especialmente en el contexto de la inteligencia artificial.


Laura Restrepo, Coordinadora Legal