Guía para el uso responsable de IA y datos personales en Colombia

2024-11-12T11:17:00
Internacional Colombia
La Circular Externa No. 002/24 de la SIC fija directrices para el tratamiento de datos con el uso de IA
Guía para el uso responsable de IA y datos personales en Colombia
12 de noviembre de 2024

La Circular Externa No. 002 del 21 de agosto de 2024, emitida por la Superintendencia de Industria y Comercio, establece directrices específicas para el tratamiento de datos personales en sistemas de inteligencia artificial (IA). Esta circular enfatiza la necesidad de cumplir con las Leyes Estatutarias 1266 de 2008 y 1581 de 2012, que regulan la protección de datos personales en Colombia, sin importar los medios con los que se trate la información.

La circular establece que el tratamiento de datos personales en sistemas de IA debe basarse en cuatro criterios: idoneidad, necesidad, razonabilidad y proporcionalidad en sentido estricto. Estos principios aseguran que el tratamiento sea adecuado y cumpla objetivos legítimos (idoneidad), limite la recolección a lo estrictamente necesario (necesidad), sea coherente con valores constitucionales (razonabilidad), y mantenga un equilibrio justo entre beneficios y afectaciones a la privacidad (proporcionalidad).

Además, establece que los responsables y encargados del tratamiento deben seguir el principio de responsabilidad demostrada, que les exige demostrar el cumplimiento efectivo de las normas de protección de datos. Esto implica adoptar medidas verificables, como estudios de impacto de privacidad antes de diseñar sistemas de IA que manejen datos personales sensibles. También sugiere técnicas como la privacidad diferencial para proteger la identidad de los titulares en el análisis de datos.

En Colombia, según el literal (k) del artículo 17 de la Ley 1581 de 2012, las empresas deberían desarrollar un programa integral de gestión de datos personales para demostrar el cumplimiento con las normas de protección de la privacidad. En caso de usar herramientas de inteligencia artificial para tratar datos personales, este programa debería incluir medidas para proteger los datos personales desde la fase de diseño de los sistemas de IA, para garantizar la protección de los datos personales.

Adicionalmente, la circular exige que, antes del diseño y desarrollo de sistemas de IA, especialmente cuando se trate de datos personales que entrañen un alto riesgo de afectación a los titulares, es necesario realizar y documentar un estudio de impacto de privacidad. Este estudio debe evaluar los riesgos específicos para los derechos y libertades de los titulares de los datos personales y prever medidas para evitar la materialización de dichos riesgos.

Con esta circular, la SIC muestra cómo aplicar los principios generales de las normas sobre habeas data a nuevas tecnologías, dejando un espacio para que las empresas puedan continuar innovando sin dejar de proteger a los titulares de la información.

12 de noviembre de 2024