Colombia publica sus directrices de tratamiento de datos personales en inteligencia artificial

La Superintendencia de Industria y Comercio de Colombia publicó la Circular Externa No. 2 de 2024 a través de la cual se establecen los lineamientos para el tratamiento de datos personales en sistemas de inteligencia artificial, basado en el régimen general de protección de datos establecido en la Ley Estatutaria 1581 de 2012 y el de Habeas Data de la Ley Estatutaria 1266 de 2008.

La circular señala que serán los administradores de datos quienes tendrán la obligación de cumplir con los criterios de manejo de datos personales en sistemas de IA. Tales criterios serían: la idoneidad del tratamiento; la necesidad del mismo y que no exista otra medida más moderada en cuanto al impacto de las operaciones de protección de datos; que el tratamiento sea razonable y cumplir finalidades constitucionales; y que exista una proporcionalidad donde las ventajas obtenidas como consecuencia de la restricción del derecho a la protección de datos no deberán ser superadas por las desventajas de afectar el derecho al Habeas Data.

Para lograr el buen cumplimiento de tales criterios, la circular exige que el administrador de datos debe realizar, previamente al diseño y desarrollo de una IA, un estudio de impacto de privacidad del algoritmo. Tal informe deberá tener una descripción detallada de las operaciones de tratamiento de datos, una evaluación de los riesgos específicos para los derechos y libertades de los titulares, un detalle sobre las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales.

A esto se añade que se exigirá que las IAs den cumplimiento a la privacidad desde el diseño y por defecto usando sistemas algoritmos que lo permitan.

La circular señala que los datos personales usados en inteligencias artificiales deben ser “veraces, completos, exactos, actualizados, comprobables y comprensibles. De esta manera, se prohíbe por el ordenamiento jurídico el tratamiento de datos personales parciales, incompletos, fraccionados o que induzcan a error”.

El documento finaliza declarando que la información “accesible al público” no es, per se, información “de naturaleza pública”. Tal como argumentan “el hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato”.

 
También te puede interesar:
— Corte Suprema chilena implementa mecanismo de protección de datos personales en buscador de jurisprudencia
— FIADI analiza a Ecuador, Chile y Perú por su protección de datos personales