Instrucciones en materia de tratamiento de datos personales en sistemas de inteligencia artificial

Por Daniel Duque, asociado de Godoy Córdoba.

En ejercicio de las funciones asignadas por la Ley Estatutaria 1581 de 2012, el pasado 21 de agosto la Superintendencia de Industria y Comercio (SIC) emitió la Circular Externa 002 de 2024, por medio de la cual entregó algunas instrucciones sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial.

De acuerdo con la propia Circular Externa, el propósito de ésta es, por un lado, proveer certidumbre a los Administradores de Datos personales sobre el Tratamiento de Datos Personales para desarrollar, desplegar o usar Sistemas de Inteligencia Artificial y, por otro lado, brindar a los titulares seguridad sobre el uso de sus Datos Personales en los sistemas en mención. Lo anterior, teniendo en cuenta que la Ley Colombiana permite el uso de este tipo de tecnología para dar Tratamiento a Datos Personales, pero su creación, implementación y uso debe garantizar el cumplimiento estricto de las normas aplicables en materia de Protección de Datos Personales.

Vale la pena destacar que, la Superintendencia de Industria y Comercio recordó que, tanto la Ley 1266 de 2008 como la Ley 1581 de 2012, son normas que se aplican a todo tipo de Tratamiento de Datos Personales incluyendo la recolección y/o Tratamiento de Datos Personales para desarrollar, probar y monitorear Sistemas de Inteligencia Artificial.

Por esta razón, entre otras aclaraciones, por medio de la Circular Externa 002 de 2024, la SIC resaltó la necesidad de que los Administradores de Datos Personales den estricto cumplimiento al principio de “responsabilidad demostrada” en virtud del cual los Administradores de Datos Personales deben adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el cumplimiento de las normas en mención y demás normas aplicables.

Te puede interesar: Uso de la inteligencia artificial en la toma de decisiones judiciales

Algunas de las instrucciones presentadas en la Circular Externa son:

  1. El Tratamiento de Datos personales en los Sistemas de Inteligencia Artificial presupone la necesidad de realizar una ponderación de los siguientes 4 criterios: Idoneidad, necesidad, razonabilidad y proporcionalidad (en sentido estricto). Lo anterior, con el objetivo de salvaguardar los principios definidos en la Ley 1266 de 2008 y en la Ley 1581 de 2012.
  2. En caso de presentarse falta de certeza frente a los potenciales daños que puede causar el Tratamiento de Datos Personales, los Administradores de Datos Personales deberán abstenerse de realizar el Tratamiento.
  3. En desarrollo del principio de “responsabilidad demostrada”, los Administradores de Datos personales deben identificar y calificar los riesgos cuando den Tratamiento a Datos Personales por medio de Sistemas de Inteligencia Artificial.
  4. Previo al diseño y desarrollo de Sistema de Inteligencia Artificial es necesario efectuar y documentar un estudio de impacto de privacidad.
  5. Los Datos personales sujetos a Tratamiento deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles.
  6. Para cumplir el principio de seguridad, en el desarrollo y despliegue de los Sistemas de Inteligencia Artificial, se requiere adoptar medidas tecnológicas, humanas, administrativas, físicas, contractuales y de cualquier otra índole necesarias para evitar, entre otros, el uso no indebido, el uso no autorizado y la manipulación de la información.
  7. El Tratamiento de Datos Personales que se realice en Sistemas de Inteligencia Artificial debe prever estrategias pertinentes, eficientes y demostrables para garantizar el cumplimiento de los derechos de los Titulares de conformidad con la Ley 1266 de 2008, la Ley 1581 de 2012 y sus decretos reglamentarios.

Estas y otras instrucciones presentadas por la Superintendencia de Industria y Comercio representan uno de los primeros acercamientos de la autoridad en materia de Protección de Datos Personales en Sistemas de Inteligencia Artificial.

Con la presencia, cada más relevante, de este tipo de sistemas en la vida de los titulares de la información, se hace indispensable que aquellas personas naturales o jurídicas que den Tratamiento a Datos Personales de terceros adapten y mantengan actualizados todos los documentos, políticas y formatos que les permitirán dar cumplimiento estricto a las normas aplicables en materia de Protección de Datos Personales en Colombia.

 


Encuentra esta edición completa de Dos:Puntos haciendo clic aquí.