Los Sistemas de Inteligencia Artificial, en los últimos tiempos, han tenido un desarrollo e impacto significativo en la sociedad, así como un efecto importante en la información que es procesada a través de éstos, ya que este tipo de tecnologías requieren, para su funcionamiento, un gran volumen de datos incluyendo, sin duda, los datos de las personas.
Por esto, es necesario que los derechos de las personas cuyos datos son recopilados y usados a través de los Sistemas de Inteligencia Artificial, sean protegidos, y, en general, que estos programas sean diseñados e implementados para evitar su vulneración, de forma que se pueda obtener de ellos los mayores beneficios.
Precisamente en este contexto, la Superintendencia de Industria y Comercio expidió la Circular Externa 002 del 2024, la cual tiene como propósito proporcionar a los Responsables, Encargados, Fuentes, Operadoras y Usuarios de información los requisitos que deben cumplir para el tratamiento de datos personales en el desarrollo, despliegue y uso de los Sistemas de Inteligencia Artificial, y brindar a los Titulares de los Datos seguridad sobre el uso de sus Datos personales en este tipo de tecnologías, ya que generalmente se utilizan para tomar decisiones autónomas o para asistir a un tomador de decisiones a través de recomendaciones y predicciones.
Así pues, los Administradores de Datos Personales deben seguir los siguientes lineamientos para el tratamiento de dicha información en Sistemas de Inteligencia Artificial:
- El uso de datos personales a través de Sistemas de Inteligencia Artificial debe estar precedido de una ponderación de los criterios de idoneidad, necesidad, razonabilidad y proporcionalidad, con el fin de dar cumplimiento a los principios establecidos en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012.
- Si existe incertidumbre sobre los posibles daños que puedan causarse por el tratamiento de los datos personales, los Administradores de Datos deben abstenerse de realizar dicho tratamiento o bien adoptar las medidas preventivas necesarias para proteger los derechos de los Titulares, con el fin de evitar que se cause un perjuicio grave e irremediable.
- Deben identificarse y clasificarse los riesgos, y adoptarse las medidas necesarias para monitorearlos, controlarlos y mitigarlos, con el fin de dar cumplimiento al principio de accountability. De esta forma, los riesgos derivados del tratamiento de datos personales a través de Sistemas de Inteligencia Artificial deben estar identificados en el Sistema de Administración de Riesgos, junto con las medidas proporcionales a la gravedad de los daños potenciales que puedan generarse.
- En caso de que se concluya que el tratamiento de los datos a través del Sistema de Inteligencia Artificial implique un alto riesgo en la afectación de los derechos de los Titulares, deberá realizarse un estudio de impacto de privacidad.
- Los datos personales tratados por sistemas de IA deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Se recomienda utilizar técnicas de privacidad diferencial para dar cumplimiento a la privacidad desde el diseño y por defecto. De esta forma, se podrá hacer analítica de datos sin revelar la información de las personas que proporcionaron los datos personales o de algún individuo en particular.
- Debe garantizarse el derecho de los Titulares a obtener, en cualquier momento y sin restricciones, información sobre el tratamiento de sus datos personales.
- Deben implementarse medidas tecnológicas, técnicas, humanas, administrativas, físicas, contractuales y de cualquier otra índole idóneas para evitar cualquier incidente de seguridad sobre los datos, las cuales deben ser auditables para su evaluación y mejoras permanentes.
- La información personal que es de fácil acceso no es, per se, información de naturaleza pública. Por lo tanto, cuando se trate de datos semiprivados, privados o sensibles, es necesario que los Administradores de los Datos cuenten con la autorización previa, expresa e informada del Titular para el tratamiento de sus datos para las finalidades pertinentes.
- El tratamiento de los datos personales en Sistemas de Inteligencia Artificial debe prever estrategias pertinentes, eficientes, idóneas y demostrables para garantizar el cumplimiento de los derechos de los Titulares de los datos establecidos en la legislación vigente.
En suma, vemos que la Circular Externa 002 del 2024 de la Superintendencia de Industria y Comercio busca armonizar el tratamiento de datos personales en Sistemas de Inteligencia Artificial con los principios y deberes establecidos en la Ley, buscando la protección de los derechos de los Titulares al habeas data y demás relacionados.
Autor: Angie Monroy Brito
Contacto: amonroy@scolalegal.com , info@scolalegal.com
Fecha de publicación: 25 de septiembre 2024.