Canal de noticias de Asuntos Legales
En días pasados, la Superintendencia de Industria y Comercio, SIC, emitió los lineamientos sobre el tratamiento de datos personales en sistemas de inteligencia artificial. El objetivo de esto según informó la entidad fue proveer a los administradores de datos personales directrices sobre el adecuado tratamiento de los mismos a efectos de desarrollar, desplegar o usar sistemas de IA y brindar a los titulares seguridad sobre el uso de sus datos personales, con el fin de garantizar la protección al derecho fundamental al Habeas Data.
De acuerdo con Sergio Michelsen, Socio de Tecnología, medios y telecomunicaciones de Brigard Urrutia, la importancia de esta circular radica en que “otorga cierto nivel de certidumbre para los administradores y los titulares de datos personales en relación con el desarrollo y uso de sistemas de inteligencia artificial. Las 10 instrucciones allí previstas permiten a las compañías trazar un plan de acción más claro para sus proyectos de inteligencia artificial en relación con el régimen de protección de datos”.
Además, se debe tener en cuenta que esta aplicará a personas naturales o jurídicas que recolecten, almacenen, hagan uso, circulen y supriman datos personales, es decir a los administradores de datos. Incluidos los desarrolladores y proveedores de sistemas de inteligencia artificial, usuarios asiduos de sistemas de inteligencia artificial y evidentemente a los titulares de datos personales.
Como marco legal de este tema, Carlos Riveros, director del área de propiedad intelectual y nuevas tecnología de Riveros Victoria explicó que “el tratamiento de datos personales en sistemas de IA debe complementar con lo establecido en la ley 1581. La ley permite el uso de tecnologías para tratar datos, pero exige que se haga de manera rigurosa. Por lo tanto, quienes crean, diseñan o usan tecnología disruptiva se vean obligados a cumplir todas las normas sobre el tratamiento de datos personales”.
Así las cosas, de manera puntual habrían algunos lineamientos que se podrían destacar en orden de importancia, de acuerdo con Carlos Riveros. Uno de estos sería el de implementar los principios de necesidad, razonabilidad y proporcionalidad que en pocas palabras significa que, “el tratamiento debe ser capaz de alcanzar sus objetivos sin exceder lo necesario, siempre orientado a cumplir con fines constitucionales y equilibrando los beneficios y las desventajas para el derecho al Habeas Data”, resaltó el experto.
Otro corresponde al lineamiento de precaución con el objeto de prevenir potenciales daños por un indebido uso del tratamiento de datos personales en sistemas de IA y establece que se debe de planear, adoptar y ajustar medidas que puedan prevenir el detrimento a dignidad y otros derechos humanos.
Al listado se suma el lineamiento de responsabilidad demostrada (Accountability), en el que se establece que los administradores de datos personales deben implementar sistemas de administración de riesgos que identifiquen, midan, controlen y monitoreen los riesgos asociados al tratamiento de la información personal en la IA. E incluso el ítem que establece la veracidad y exactitud y estipula que los datos personales tratados en sistemas de IA deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. Y por ende, “prohíbe el tratamiento de datos que sean parciales, incompletos, fraccionados o que induzcan a error al público o primer interesado”, entre otros lineamientos.
En términos sancionatorios, se debe considerar que, según explicó Juan Nicolás Laverde, director de TMT de Brigard Urrutia, de acuerdo con el artículo 17 de la Ley 1581 de 2012 y los artículos 7, 8 y 9 de la Ley 1266 de 2008, los administradores de datos personales deben cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. “En tanto esta circular contiene instrucciones, su incumplimiento podría dar lugar a las sanciones previstas en esas normas, entre las que se incluyen multas, suspensión o cierre de las actividades relacionadas con el tratamiento, entre otras”, puntualizó el experto.
Y es que esta circular presenta por primera vez un documento instructivo de datos personales e IA con lineamientos concretos para los administradores de datos personales. Sin embargo, Colombia ya ha desarrollado diversos instrumentos normativos relacionados con inteligencia artificial.
Antecedentes:
Entre el marco legal con el que ya se contaba respecto a este tema , se destaca el Conpes 3975 de 2019, el actual borrador de Política Nacional de Inteligencia Artificial, el Decreto 1263 de 2022, la Directiva Presidencial 03 de 2021, entre otros. Asimismo, ha habido pronunciamientos judiciales, como la Sentencia T- 323 del 2024, en la que la Corte Constitucional precisó que cualquier sistema de inteligencia artificial debe garantizar el cumplimiento de las leyes 1266 de 2008 y 1581 de 2012.