Español: El 21 de agosto de 2024, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa No. 002 de 2024, con instrucciones sobre el tratamiento de datos personales en IA, de conformidad con el régimen de protección de datos personales, contenido en las leyes 1266 de 2008 y 1581 de 2012 y sus decretos reglamentarios (“RCPD”).
La Circular es aplicable a responsables, encargados y usuarios de datos personales que desarrollen o usen IA con base en información que contenga datos personales. El incumplimiento puede llevar a sanciones.
La SIC estable instrucciones sobre diez puntos:
- El tratamiento debe atender criterios de idoneidad, necesidad, razonabilidad y proporcionalidad, a fin de salvaguardar los principios establecidos en el RCPD.
- Deben evitarse escenarios donde no haya certeza sobre potenciales daños, así como adoptar medidas preventivas.
- En procura del principio de responsabilidad demostrada, se deben identificar, medir, controlar y monitorear los riesgos asociados al tratamiento de datos personales.
- Si previo al diseño y desarrollo del sistema de IA se identifica alto riesgo de afectación a los titulares, se debe implementar un estudio de impacto de privacidad.
- Los datos personales deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles.
- Se propone la privacidad diferencial, un conjunto de técnicas matemáticas que permiten hacer analítica sobre datos sin revelar información de las personas que proporcionan los datos.
- Los titulares deben poder obtener información acerca del tratamiento de sus datos.
- Se deben implementar medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de los datos personales.
- La información personal que es "accesible al público" no es, per se, información "de naturaleza pública", por lo que no debe buscar apropiarse de dicha información y tratarla para cualquier finalidad sin autorización previa, expresa e informada del titular.
- Se deben garantizar los derechos de los titulares.
Colombia ha desarrollado diversos instrumentos normativos relacionados con IA, tales como el CONPES 3975 de 2019, el actual borrador de Política Nacional de IA, el Decreto 1263 de 2022, la Directiva Presidencial 03 de 2021, entre otros. También ha habido pronunciamientos judiciales como la Sentencia T-323 del 2024, en los que la Corte Constitucional precisó que cualquier sistema de IA debe garantizar el cumplimiento del RCPD.