Por: Natalia Mondragón – Abogada líder para el área de Privacidad, Tecnología y Cumplimiento
Actualmente, en materia de seguridad y protección de la información existe un marco normativo que sugiere una expansión, en el que si bien leyes estatutarias como la 1266 de 2008 y 1581 de 2012 son neutrales tecnológicamente y aplican a modelos negocio, procesos y aplicaciones que utilizan tecnología informática, lo cierto es que existen vacíos que requieren de urgente regulación.
Es por ello por lo que, autoridades como la Superintendencia de Industria y Comercio (en adelante “SIC”) y el Ministerio de Ciencia, Tecnología e Innovación (en adelante “Minciencias”) en articulación con el MinTIC han emitido proyectos regulatorios. Por un lado, la SIC a través del Proyecto de Circular Externa del 06 de mayo de 2025 estableció lineamientos para el tratamiento de los datos personales en los ambientes Fintech, y, por otro lado, el Minciencias emitió el Proyecto de ley de regulación de la inteligencia artificial tan sólo un día después de la fecha señalada.
Este último proyecto toma en consideración como principio para el desarrollo y uso de la inteligencia artificial, la privacidad y confidencialidad y la evaluación del impacto de estos sistemas en la sociedad, la economía, el medio ambiente y los derechos fundamentales de los individuos, trayendo conceptos como los denominados “Sandboxes Regulatorios” como espacios controlados con exenciones regulatorias para probar y validar los nuevos sistemas basados en la IA bajo la supervisión de las autoridades, pues dada la flagrante vulneración de derechos que puede generar el uso indiscriminado de estos sistemas, resulta relevante la definición de mecanismos preventivos de evaluación de riesgos.
Y es que no debe perderse de vista que la base de los desarrollos tecnológicos debe partir de la privacidad desde el diseño y por defecto, para para prevenir eventos como el señalado en la Resolución 16582 de 2025 emitida por la SIC, en la que sanciona a un E- Commerce por solicitar de manera obligatoria a un usuario su biometría fácil a través del uso de la aplicación móvil, desconociendo el carácter facultativo del suministro de datos sensibles, lo cual deviene en una ausencia de parametrización de los sistemas, que permitiera acceder a los servicios y productos ofertados por la plataforma mediante mecanismos alternativos.
Lo anterior se agudiza, si se tiene en cuenta que, a pesar de que la empresa objeto de investigación había definido canales específicos para la atención de los titulares en materia de protección de datos personales, atendió el reclamo del usuario por el canal de servicio al cliente, lo que trajo como consecuencia que no fuere resuelta la petición de manera favorable al usuario, bajo el argumento de que la administración de dicho dato sensible estaba asociada a una obligación legal.
Lo expuesto deja en evidencia, la importancia de un marco regulatorio robusto que contemple los usos de tecnologías de inteligencia artificial, pero también, el uso adecuado de los datos personales en contextos físicos y digitales, y la adopción de principios como la responsabilidad demostrada y de privacidad desde el diseño y por defecto en las aplicaciones, herramientas y soluciones que se desarrollen.
Bibliografía:
- Proyecto de Circular Externa 2025 SIC del 06 de mayo de 2025
- Borrador Proyecto de ley regulación de IA – Minciencias – 07 de mayo de 2025
- RESOLUCIÓN NÚMERO 16582 DE 2025 – (31 de marzo de 2025). SIC
