Contenido
La incorporación masiva de herramientas de inteligencia artificial generativa como ChatGPT, Claude, Gemini o Copilot en operaciones empresariales colombianas se ha dado a una velocidad que supera el ritmo de los lineamientos internos y del diagnóstico jurídico previo. Aunque el Proyecto de Ley 043 de 2025 todavía cursa en el Congreso, la Ley 1581 de 2012, los pronunciamientos de la SIC y la jurisprudencia constitucional ya imponen obligaciones exigibles que todo equipo jurídico debería conocer.
¿Puede una empresa pegar libremente datos personales o información confidencial en herramientas de IA generativa? No. La Circular Externa 002 del 21 de agosto de 2024 SIC obliga a que el tratamiento de datos personales en sistemas de IA cumpla criterios de idoneidad, necesidad, razonabilidad y proporcionalidad, y exige estudio de impacto de privacidad cuando exista alto riesgo. Las versiones públicas y gratuitas de estas herramientas pueden usar las entradas para entrenamiento, lo que puede configurar tratamiento no autorizado bajo la Ley 1581 de 2012 y exposición de información confidencial protegida por deberes contractuales o secreto empresarial.
¿Qué debe informarle la empresa a sus clientes y empleados cuando usa IA generativa en interacciones con ellos? La transparencia es exigible hoy. El concepto 25-86338 de la SIC del 16 de abril de 2025, dejó claro que los principios de transparencia, privacidad y responsabilidad aplican a estos usos, articulando el régimen de protección de datos con el CONPES 4144 de 2025. La Sentencia T-323 de 2024 reforzó ese estándar al exigir transparencia y supervisión humana de las decisiones soportadas por IA, principios que trascienden el contexto judicial del caso.
¿Las creaciones que produce la empresa con apoyo de IA generativa están protegidas por derechos de autor? No, en términos generales. La DNDA ha sostenido, conforme a la Ley 23 de 1982 y la Decisión Andina 351 de 1993, que solo las creaciones de personas naturales son protegibles. La Resolución 154 del 5 de junio de 2025 reiteró esa línea incluso frente a procesos híbridos con ajustes manuales sobre resultados de DALL-E y ChatGPT, considerando que el usuario no controla la disposición concreta de los elementos generados. Esos contenidos pueden quedar sin protección autoral.
¿Qué debe contener entonces una política interna de uso de IA generativa? Cuatro componentes mínimos: clasificación clara de qué información puede y no puede ingresarse, distinguiendo versiones empresariales con garantías de no entrenamiento; mecanismos de transparencia frente a clientes y empleados cuando la IA interviene en decisiones; evaluación de impacto en protección de datos antes de desplegar sistemas que afecten derechos; y supervisión humana documentada de decisiones automatizadas relevantes.
El marco vigente ya basta para exigir cumplimiento, y la futura ley de IA solo profundizará lo que la SIC y la Corte Constitucional vienen perfilando desde 2024.