Lineamientos sobre el tratamiento de datos personales en sistemas de inteligencia artificial.

El pasado 21 de agosto de 2024, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa N° 002 de 2024, por medio de la cual establece los lineamientos sobre el tratamiento de datos personales en sistemas de inteligencia artificial (SIA), dirigida a los sujetos vigilados por la SIC en su rol de Autoridad de Protección de Datos personales.

Esta circular tiene como objetivo proporcionar a los administradores de datos personales claridad sobre el tratamiento de datos personales en el desarrollo, despliegue o uso de sistemas de inteligencia artificial. Además, busca ofrecer a los titulares seguridad respecto al uso de sus datos personales en estos sistemas, que suelen emplearse para tomar decisiones autónomas o para asistir a un tomador de decisiones humano mediante recomendaciones y predicciones.

En este contexto, la SIC, como autoridad nacional de protección de datos personales, emite entre otras las siguientes instrucciones:

1. Criterios clave: El Tratamiento de datos personales en la IA debe cumplir cuatro criterios para salvaguardar los principios de las Leyes 1266 de 2008 y 1581 de 2012: Idoneidad, necesidad, razonabilidad y proporcionalidad en sentido estricto.

2. Medidas precautorias: Si existen dudas sobre los posibles riesgos del tratamiento de datos personales, los administradores deben abstenerse de realizarlo o aplicar medidas preventivas para proteger los derechos, la dignidad y otros derechos humanos del titular de los datos.

3. Gestión de riesgos: La identificación y clasificación de riesgos, así como la adopción de medidas para mitigarlos, son aspectos esenciales del principio de responsabilidad demostrada.

4. Estudio de impacto de privacidad: Antes del diseño y desarrollo de IA, si se prevé un alto riesgo para los titulares de la información, es obligatorio realizar y documentar un estudio de impacto de privacidad.

5. Datos exactos: Los datos personales tratados en la IA deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. El tratamiento de datos personales parciales, incompletos, fraccionados o que induzcan a error está prohibido por la ley.

6. Privacidad desde el diseño: Una manera para dar cumplimiento a la privacidad desde el diseño y por defecto por medio de técnicas matemáticas es la privacidad diferencial, la cual es un conjunto de técnicas matemáticas que permiten hacer analítica sobre datos sin revelar información de las personas que proporcionaron esos datos.

7. Acceso a la información: Los titulares de los datos tienen derecho a solicitar información sobre el tratamiento de sus datos personales en cualquier momento y sin restricciones.

8. Seguridad: Se deben adoptar medidas tecnológicas, humanas, administrativas, físicas y contractuales que eviten el acceso no autorizado, manipulación, destrucción o uso indebido de los datos personales. Estas medidas deben ser auditables por las autoridades para asegurar su evaluación y mejora continua.

9. Datos accesibles al público: La información personal accesible al público no es automáticamente de naturaleza pública. Su disponibilidad en internet no permite que cualquiera la trate sin la autorización previa, expresa e informada del titular. Por lo tanto, los administradores de datos que recolecten información privada, semiprivada o sensible en línea no pueden utilizarla sin el consentimiento del titular.

10. Cumplimiento de derechos: El tratamiento de datos personales en sistemas de IA debe incluir estrategias efectivas y verificables para asegurar el cumplimiento de los derechos de los titulares, conforme a las leyes 1266 de 2008 y 1581 de 2012 y sus decretos reglamentarios.

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, con los datos identificadores y documentos sin límite.

Paute en Ámbito Jurídico. 

Siga nuestro canal en WhatsApp.