La regulación de facto de la IA
04 de junio de 2026Contenido
El 12 de mayo de 2026, Anthropic lanzó Claude for Legal, con más de veinte conectores especializados e integración ampliada con CoCounsel Legal de Thomson Reuters. La IA verticalizada para profesiones reguladas avanza a una velocidad que ningún Congreso iguala. Entre que una tecnología aparece y que el legislador la regula pasan años y esa brecha alimenta un malentendido costoso en las empresas colombianas.
El malentendido es este: como el Congreso no ha aprobado una gran ley de inteligencia artificial, muchas organizaciones asumen que operan en una zona gris donde, mientras no haya norma específica, no hay obligación concreta. Durante mucho tiempo el derecho funcionó así. Hoy ocurre lo contrario. La regulación tecnológica ya está ocurriendo en Colombia y su origen principal no es el Congreso, son las autoridades administrativas.
Las tecnologías emergentes casi siempre se regulan primero por vía administrativa. Una ley exige consenso político y trámite lento. Una autoridad técnica puede emitir un concepto o una circular en semanas, apoyándose en facultades que ya tiene sobre una materia preexistente, sin esperar una ley que nombre la tecnología. Con la IA, la puerta de entrada fue la protección de datos, donde la SIC tiene competencias desde la Ley 1581 de 2012. Sobre esa base, la SIC ha construido un marco fragmentado pero cada vez más sólido. La Circular Externa 002 de 2024 fijó lineamientos sobre tratamiento de datos en sistemas de IA: transparencia, supervisión humana y responsabilidad demostrada. Un concepto de abril de 2025 precisó que el uso comercial de IA debe respetar el habeas data, y la Circular Externa 002 de octubre de 2025 extendió la responsabilidad a quien transfiere tecnologías que tratan datos. A ello se suman el CONPES 4144 de 2025, que estructura la Política Nacional de IA y la alerta internacional que la SIC lideró en febrero de 2026 junto con autoridades de 60 países. Ninguno es la gran ley que muchos esperan, pero juntos ya dibujan obligaciones exigibles.
Ahí está el riesgo que pocos miden bien. Muchas organizaciones operan bajo una premisa peligrosa: si no hay ley específica, no hay obligación. Pero cuando la SIC abre una investigación no pregunta si existe una ley de IA. Pregunta si la empresa cumplió los principios de tratamiento de datos vigentes, si garantizó transparencia en sus decisiones automatizadas y si puede demostrar los controles que implementó. La responsabilidad demostrada invierte la carga: hay que probar con evidencia, antes del requerimiento, que se actuó bien. Esto redefine el compliance tecnológico. Durante años, la gestión regulatoria consistió en monitorear proyectos de ley. Eso ya no alcanza. Una función de cumplimiento moderna debe vigilar también los conceptos, las circulares y los criterios de supervisión, porque ahí se definen las obligaciones reales. El regulador relevante para la IA en Colombia no está en el Capitolio. Está en la SIC.
Las empresas que esperan a que el Congreso les diga exactamente qué hacer suelen descubrir, demasiado tarde, que el regulador llevaba meses construyendo las reglas por otra vía. En tecnología, cuando una organización por fin lo nota, casi siempre es porque ya está respondiendo un requerimiento, una investigación o una auditoría. Para entonces, la discusión ya no gira en torno a si había que cumplir. Gira en torno al costo de no haberlo hecho a tiempo.