Datos personales y sistemas de Inteligencia Artificial
24 de octubre de 2024Contenido
La Circular Externa No. 002 del pasado 21 de agosto, expedida por la Superintendencia de Industria y Comercio , establece diferentes parámetros sobre el tratamiento de datos personales en Sistemas de Inteligencia Artificial - IA y tiene como propósito proveer a los Administradores de Datos personales certidumbre sobre el Tratamiento de Datos personales para desarrollar, desplegar o usar IA y brindar a los Titulares seguridad sobre el uso de sus Datos.
En Colombia, la protección y el manejo de los datos personales se encuentra regulado en el artículo 15 de la Constitución Política; las Leyes 1266 de 2008 1581 de 2012, y sus decretos reglamentarios.
Mientras que, por su parte, la IA, aun cuando no cuenta todavía con un régimen normativo aplicable en Colombia, es definida en la Circular como “una tecnología que tiene una dimensión tanto científica como social” que “para su funcionamiento se necesitan de grandes volúmenes de datos, y la mayoría de las veces de Datos Personales.”; y en el documento CONPES 3975 como “un sistema basado en máquinas que, con objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales”.
Pues bien, la Superintendencia de Industria y Comercio actuando en su rol de autoridad de Protección de Datos mediante la citada circular se ocupa de instruir a los Administradores de los Datos Personales sobre el tratamiento de dichos datos en la IA, así como de dictar lineamientos esenciales en virtud del cumplimiento del Principio de Responsabilidad Demostrada (o “Accountabillity”) que los mismos deben propender, como, por ejemplo, la instrucción IV que corresponde a que “previo al diseño y desarrollo de la IA, (…) , será necesario efectuar y documentar un estudio de impacto de privacidad.”
Sin embargo, consideramos que en la práctica, esta circular deja múltiples inquietudes respecto de su aplicabilidad, especialmente en relación con las instrucciones III, IV, IX y X.
En ese sentido nos preguntamos: ¿cómo se realizará la identificación y clasificación de riesgos bajo cada nivel de autonomía y adaptabilidad de la IA?¿qué comprende un estudio de impacto desde la perspectiva de los titulares?¿es necesario modificar la política de privacidad y tratamiento de datos del titular en virtud de dicho estudio? ¿se deberán implementar autorizaciones de recolección en masa para los datos personales que estén disponibles en internet y se pretendan utilizar? ¿cuáles son los criterios para definir que una estrategia es pertinente, eficiente y demostrable para garantizar el cumplimiento de la normatividad aplicable en materia de datos personales en Colombia bajo la IA?
Por ahora, un par de recomendaciones para los titulares: verifiquen qué tipos de datos entregan, cómo los usan y cómo los protegen; asegúrense de que los datos serán almacenados de manera segura y se utilizarán técnicas de cifrado o de anonimización para el tratamiento de los mismos; revisen los permisos que otorgan; desactiven permisos innecesarios; en materia de datos financieros utilicen autenticación de dos factores (2FA); y lo más importante: pregunten sobre los derechos de sus datos.