CIRCULAR EXTERNA NRO. 002 DE 21 DE AGOSTO DE 2024 DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

CIRCULAR EXTERNA NRO. 002 DE 21 DE AGOSTO DE 2024 DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

¿Sobre qué trata la Circular Externa Nro. 002 de 21 de agosto de 2024 de la Superintendencia de Industria y Comercio?

Esta circular consagra los lineamientos e instrucciones impartidas por la Superintendencia de Industria y Comercio sobre el tratamiento de datos personales en Sistemas de Inteligencia Artificial, por lo cual, está dirigida a los sujetos vigilados por la Superintendencia de Industria y Comercio como autoridad de protección de datos personales.

¿La Superintendencia de Industria y Comercio tiene facultades para expedir esta Circular Externa?

Sí, la Superintendencia a través de la Delegatura para la Protección de Datos Personales tiene funciones para impartir instrucciones y procedimientos, lo cual se encuentra en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012, y ha sido reiterado por la Corte Constitucional en Sentencias de Constitucionalidad. Estas facultades aplican independientemente de los sistemas informáticos en los que se traten los datos personales, las tecnologías de la información y comunicaciones.

¿Qué es un sistema de inteligencia artificial?

Los miembros de la OCDE (Organización para la Cooperación y Desarrollo Económico) lo definieron como “un sistema basado en máquinas que, con objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Los diferentes sistemas de IA varían en sus niveles de autonomía y adaptabilidad después de su implementación”.

¿Cuál es el objetivo de esta Circular Externa?

Esta circular tiene el objetivo de impartir instrucciones para los administradores de datos personales sobre el tratamiento de datos personales para desarrollar, desplegar o usar sistemas de inteligencia artificial y, por otra parte, brindar seguridad a los titulares sobre el uso de sus datos personas en los sistemas de inteligencia artificial. Adicionalmente, busca que quienes crean, diseñan o usan “innovaciones tecnológicas” cumplan con todas las normas sobre tratamiento de datos personales recolectados y/o tratados en Colombia.

¿Qué relación tienen la inteligencia artificial y los datos personales que hace relevante a esta Circular Externa?

La inteligencia artificial es una tecnología que para su funcionamiento utiliza grandes volúmenes de datos, muchos de los cuales son datos personales, por lo que la relación entre la inteligencia artificial y los datos personales es manifiesta y relevante. 

¿Las Leyes Estatutarias 1266 de 2008 y 1581 de 2012 aplican frente al tratamiento de datos en sistemas de inteligencia artificial?

Sí, así lo reitera la Superintendencia de Industria y Comercio en la Circular Externa Nro. 002 de 2024, puesto que las Leyes Estatutarias 1266 de 2008 y 1581 de 2012 son normas neutrales a nivel temático y tecnológico por lo que aplican a todo tipo de tratamiento de datos personales realizado por los administradores de datos personales, incluyendo por supuesto el tratamiento de datos para desarrollar, probar y monitorear Sistemas de Inteligencia Artificial o como parte de su proceso de implementación.

¿El ordenamiento jurídico colombiano permite la utilización de sistemas de inteligencia artificial para el tratamiento de datos?

Sí, así lo reitera la Superintendencia de Industria y Comercio en la Circular Externa Nro. 002 de 2024, no obstante, el ordenamiento jurídico colombiano en materia de tratamiento y protección de datos personales exige que este se haga en cumplimiento de las normas aplicables a la materia. De igual manera, la Corte Constitucional mediante Sentencia T-323 del 2024 reafirmó la necesidad de cumplir lo establecido en la regulación sobre protección de datos personales en el tratamiento que se haga sobre datos personales por cualquier sistema de inteligencia artificial.

¿Qué es el deber de responsabilidad demostrada para efectos del régimen de tratamiento de datos personales?

Este deber es aquel que exige a los administradores de datos personales adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación, el cual está inmerso en la regulación contenida en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012, así como en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo Nro. 1074 de 2015.

¿Qué medida proactiva menciona la Superintendencia de Industria y Comercio para efectos de cumplir con el deber de responsabilidad demostrada?

La Superintendencia de Industria y Comercio menciona la privacidad desde el diseño y por defecto, ya que, al introducir la privacidad desde el diseño, se garantiza el debido tratamiento de los datos utilizados en los proyectos informáticos que involucren tratamiento de datos personales, minimizando así niveles no aceptables de tratamiento de datos, así como vulnerar el consentimiento de los titulares en su derecho fundamental a la privacidad y dando cumplimiento al principio de seguridad de los datos personales.

¿Qué instrucciones imparte la Superintendencia de Industria y Comercio en la Circular Externa Nro. 002 de 2024 para el tratamiento de datos personales en sistemas de inteligencia artificial?

La Superintendencia de Industria y Comercio imparte las siguientes diez (10) instrucciones frente a este tema:

1. El tratamiento de datos personales en la inteligencia artificial presupone la necesidad de aplicar cuatro criterios, a saber, el de idoneidad, el de necesidad, el de razonabilidad y el de proporcionalidad en sentido estricto.
2. En caso de que se presente falta de certeza frente a los daños que puede ocasionar el tratamiento de datos personales, el administrador de datos personales debe abstenerse de realizar dicho tratamiento o debe adoptar medidas precautorias o preventivas para proteger los derechos de los titulares.
3. En el tratamiento de datos personales en la inteligencia artificial se requiere que los administradores de datos personales adecúen los sistemas de administración de riesgos asociados al tratamiento de datos personales ya que la identificación y clasificación de riesgos, así como la adopción de medidas para mitigarlos hacen parte de los elementos esenciales del deber de responsabilidad demostrada.
4. Se debe efectuar un estudio de impacto de privacidad, previo al diseño y desarrollo de la inteligencia artificial, que contenga como mínimo lo siguiente:

• • Una descripción detallada de las operaciones de tratamiento de datos personales.
  • Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales, con la identificación y clasificación estos.
  • Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales.

5. Los datos personales sujetos a tratamiento en la inteligencia artificial deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles.
6. Usar técnicas matemáticas como la privacidad diferencial para dar cumplimiento a la privacidad desde el diseño y por defecto.
7. Garantizar el derecho de los titulares de la información a obtener de los administradores de datos personales, en cualquier momento y sin restricciones, información acerca del tratamiento de sus datos personales.
8. Adoptar medidas tecnológicas, humanas, administrativas, físicas, contractuales y de cualquier otra índole que busquen cumplir con el principio de seguridad.
9. Los administradores de datos personales que recolecten datos personales privados, semiprivados o sensibles en internet no están legitimados para apropiarse de dicha información y tratarla para cualquier finalidad que consideren apropiado sin la autorización previa, expresa e informada del titular de la información.
10. Prever estrategias pertinentes, eficientes y demostrables para garantizar el cumplimiento de los derechos de los Titulares de la información, establecidos en la normatividad vigente y aplicable.