BLOG

¿Qué debe saber sobre el tratamiento de Datos Personales en Sistemas de Inteligencia Artificial?

#ComunicadoDeInterés

El 21 de agosto del año en curso, la Superintendencia de Industria y Comercio emitió la Circular Externa 002 de 2024 para establecer los lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial dado lo evidente que es el impacto de la IA en el derecho fundamental al Habeas Data. Por esto, se presentan las definiciones de Inteligencia Artificial del CONPES 3975 y la OCDE en 2023 que, en resumen, son esos sistemas informáticos que infieren cómo generar predicciones, contenidos, etc., a partir de una entrada recibida.

Además, se menciona que las leyes estatutarias 1266 de 2008 y la 1581 de 2012 son normas que se aplican a todo Tratamiento de Datos Personales, en estos se menciona la regla de responsabilidad demostrada o “accountability” la cual exige a los Administradores de Datos Personales adoptar medidas para ser capaces de demostrar haber implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones que la normativa trae. También se menciona la necesidad de materializar el principio de seguridad, pues al entrenar a la maquina con Inteligencia Artificial se deben prevenir niveles de riesgo no aceptables.

Entre la jurisprudencia citada, la T-323 de 2024 es menester mencionarla, pues reafirma la importancia de cumplir con la regulación de protección de Datos Personales en el tratamiento que se haga de los mismos mediante sistemas de IA.

Lea aquí la ficha jurisprudencial de la sentencia T-323 de 2024 de la Corte Constitucional sobre Utilización de IA en procesos judiciales.

Lineamientos que la Superintendencia considera necesarios para proteger los Datos Personales en sistemas de IA:

  1. Se debe hacer una ponderación de cuatro criterios:
    1. Idoneidad: alcanza el objetivo.
    1. Necesidad: que sea la medida más moderada.
    1. Razonabilidad: fines constitucionales.
    1. Proporcionalidad en sentido estricto: más ventajas que desventajas en la protección de datos.
  2. Los Administradores de Datos personales deben abstenerse de realizar el Tratamiento de estos si falta certeza frente a los potenciales datos que pueden causar el tratamiento y, deberán adoptar medidas preventivas para proteger el derecho del dato, dignidad y demás derechos humanos.
  3. Los Administradores de Datos personales deberán adecuar sistemas de administración de riesgos asociados al tratamiento de la información.
  4. Efectuar y documentar un estudio de impacto de privacidad que incluya, como mínimo:
    1. Descripción de las operaciones de Tratamiento de Datos personales.
    1. Evaluación de riesgos identificados y clasificados para los derechos y libertades de los Titulares de los Datos Personales.
    1. Medidas de seguridad, diseño de software, tecnologías y mecanismos que eviten que se materialicen los riesgos y se garantice la protección de Datos personales.
  5. Los Datos Personales que se vayan a tratar en sistemas de IA deben “ser veraces, completos, exactos, actualizados, comprobables y comprensibles”.
  6. Se deberán utilizar técnicas de privacidad diferencial.
  7. Los Titulares de la información tienen derecho a obtener información acerca del Tratamiento de sus Datos personales.
  8. Se deben adoptar medidas de índole tecnológica, contractual, entre otras, para evitar el acceso y uso indebido de los Datos personales, el suministro de la información a personas no autorizadas, la manipulación y destrucción de la información.
  9. Que haya información accesible al público, no significa que sea de naturaleza pública, por lo que no se pueden tratar sin autorización previa, expresa e informada del Titular del Dato. Con base en esto, los Administradores de Datos personales que la recolecte, no puede apropiarse de dicha información y tratarla para cualquier finalidad sin autorización del Titular.
  10. El Tratamiento debe prever estrategias pertinentes, eficientes y demostrables para que se garantice el cumplimiento de las leyes estatutarias 1266 de 2008, 1581 de 2012 y sus decretos reglamentarios.

Teniendo en cuenta estos lineamientos, PROTECDATA COLOMBIA, firma de abogados con desarrollo de tecnología propia, especialistas en, entre otros, servicios de Protección de Datos Personales, entendemos la importancia del cumplimiento normativo y la garantía de la seguridad de la información en las empresas tanto del ámbito público como privado. Con base en el principio de neutralidad tecnológica, la cual brinda la libertad de usar tecnologías en la prestación de servicios, la Circular analizada pide que los sistemas de Inteligencia Artificial se alineen a la normativa que regula el tratamiento de datos personales, por lo que, consideramos importante profundizar este análisis con una explicación detallada sobre la privacidad desde el diseño y por defecto.

Ahora, con el desarrollo de las nuevas tecnologías, sistemas y aplicaciones, la protección de datos personales es un aspecto crucial. La reglamentación a nivel internacional y colombiana de la privacidad en el diseño son pieza central para el avance de regulación en el tema, como lo son la Guía de Privacidad desde el Diseño de la Agencia Española de Protección de Datos (AEPD), el informe Ingeniería de la Protección de Datos de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), y la Resolución 64454 de 2021 del Ministerio de Industria, Comercio y Turismo y la Superintendencia de Industria y Comercio (SIC) en Colombia.

La guía de privacidad desde el diseño emitida por la Agencia Española de Protección de datos (AEPD)
Habla sobre el concepto de “privacidad desde el diseño” o “privacy by design”, metodología que busca que la privacidad no sea ͏una cosa secundaria o final del progreso de sistemas o cosas, sino que es importante evaluar la privacidad desde el inicio del diseño del sistema de IA en el sentido de estimar a fondo el impacto que se puede tener sobre los datos de los titulares, para ello se deben realizar evaluaciones de impacto de riesgos. Crear un sistema de IA que garantice realmente la protección de datos personales va de la mano con el criterio del generador de la IA, es decir, el generador de la IA debería ser consiente de los criterios básicos de la materia para considerar de esta manera riesgos puedan llegar a materializarse. Si no hay conciencia sobre la garantía real de la protección de datos, como ocurre hoy en día con muchos sistemas de IA, seguiremos trabajando en forma reactiva y no preventiva.

Esta guía habla de siete principios fundamentales para la privacidad en el diseño: i) la proactividad y prevención para anticipar riesgos; ii) privacidad por defecto que protege que los datos no sean accesibles sin la intervención de una persona; iii) la privacidad integrada en el diseño que es el elemento central desde el principio del desarrollo; iv) la funcionalidad total que equilibra la privacidad y sus funcionalidades; v) la protección a lo largo del ciclo de vida desde su creación hasta su eliminación; vi) visibilidad y transparencia en que las organizaciones sean claras en el manejo de los datos personales para brindar más confianza; y vii) el respeto por la privacidad de los usuarios lo cual mantiene un enfoque centrado en el usuario al tener en cuenta los derechos de los usuarios y el control de sus propios datos. 

Ahora bien, las estrategias para garantizar que los datos sean tratados de manera segura y conforme a las normativas se dividen en estrategias centradas en factores tales como que la privacidad se incorpore desde la configuración predeterminada del sistema de IA y su privacidad de asegure a lo largo de todo el ciclo de vida del dato, así le dan importancia y relevancia al titular de los datos y propenden por el principio de transparencia.

Las orientadas al tratamiento de los datos buscan, entre otras, minimizar el procesamiento de datos excluyendo los irrelevantes, la estrategia de ocultar la cual consta de reducir la exposición de datos restringiendo el acceso, ofuscación, disociación y generalización de datos para evitar correlaciones y el separar los datos en sistemas o bases de datos independientes. Además, las orientadas a los procesos precisan, en particular, informar a los usuarios sobre el tratamiento de sus datos sobre la información que se procesa, su finalidad y a quiénes se les comunica y cumplir el aseguramiento del tratamiento de datos con base en políticas claras.

En concordancia con esto, la empresa española ENISA de innovación y ciberseguridad crea un documento, el cual une la privacidad desde el diseño  con la ingeniería de la protección de datos para facilitar la implementación de las medidas en sistemas tecnológicos. La ingeniería de la privacidad y la protección de datos, entendida como la configuración de medidas técnicas y tecnológicas que respalden los principios del tratamiento de los datos, que en Colombia son: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso o consulta y circulación restringida, seguridad y confidencialidad, busca traducir los principios teóricos en operativos con unas tecnologías que ayudarán a lograrlo.

ENISA, en 2015, destacó ocho estrategias que buscan garantizar la confidencialidad, integridad y disponibilidad, junto a tres principios adicionales: desvinculación, transparencia y capacidad de intervención, ya que son principios propios de la seguridad de la información, por lo que, la violación de cualquiera de estos, deriva en un incidente de seguridad de la información.

También habla sobre las tecnologías como la autenticación, autorización y el control de accesos que juegan un rol fundamental en la protección de datos, destacando innovaciones como las pruebas de conocimiento cero, que permiten validar la identidad sin exponer información sensible. Uno de los conceptos clave es la anonimización y la seudonimización, pues es importante saber que la diferencia radica en la eliminación completa o no de la vinculación de los datos con una persona.

Un tema esencial en la protección de datos es permitir que los individuos ejerzan sus derechos de protección de datos. Esto implica no solo el acceso a información sobre el tratamiento de datos (transparencia), sino también la capacidad para influir en cómo se maneja su información personal por parte del responsable del tratamiento. Asimismo, los iconos gráficos de privacidad se plantean como una estrategia para tener una mayor comprensión de la información que se transmite de manera textual, ya que los íconos pueden complementar o sustituir información; el reto que se plantea es estandarizar íconos de manera global para su correcto uso y aplicación. Aunque el RGPD permite el uso de iconos, aún no existe un conjunto estandarizado, aunque hay propuestas en desarrollo. Estos iconos deben ser legibles mecánicamente, facilitando su interpretación automática y la traducción a diferentes idiomas.

Por otro lado, las políticas autovinculantes (Sticky Policies) integran la política de privacidad directamente con los datos tratados. Esto permite que las políticas viajen con los datos y garantice el cumplimiento automático de las restricciones establecidas. Aunque prometedor, este enfoque aún enfrenta desafíos, como la falta de estándares normalizados y problemas con nuevas tecnologías y sistemas complejos.

Por último, la Resolución 64454 de 2021 del Ministerio de Industria, Comercio y Turismo, junto con la SIC[3], tiene como objetivo establecer lineamientos claros para la implementación de la privacidad desde el diseño (PbD) y la privacidad por defecto (PDpD) en los sistemas tecnológicos que manejen datos personales, en línea con las mejores prácticas internacionales, como el RGPD, atado a la evolución de la tecnología y los nuevos problemas y amenazas que trae consigo se busca ser sumamente proactivos y preventivos ante los riesgos a los que los datos se ven expuestos.

Esta Resolución analiza la privacidad desde el diseño y por defecto para el aplicativo PAI 2.0 (buscador de vacunaciones de niños, adultos y adultos mayores) y cualquier otro desarrollo que se pretenda habilitar en el futuro. Habla de la necesidad de incorporar la privacidad como principio y piedra angular dentro de los procesos de diseño, operación y gestión de aplicativos o herramientas para lograr una protección integral de los datos personales (PbD).

Y la privacidad por defecto PDpD es la necesidad de adoptar mecanismos que garanticen que se traten únicamente los datos necesarios, adecuados y pertinentes en relación con los fines del tratamiento, también, que el tiempo de conservación de los datos esté justificado objetivamente en la finalidad del tratamiento. La obligación de implementar medidas de protección sobre los datos es tarea de los Responsables del tratamiento, pero debe hacerse extensiva a proveedores de servicios de tecnología, desarrolladores de productos o fabricantes.

Estas medidas proactivas cumplen, entre otras, con el principio de responsabilidad demostrada (accountability). En Colombia no está consagrada expresamente, pero es una medida proactiva que coadyuva a dar cumplimiento al principio de responsabilidad demostrada, abordada desde la regulación española que se aplicará en Colombia como una de las medidas preventivas que garantizan la ejecución de las medidas regulatorias aplicables que le permitan a la SIC identificar que se está propendiendo por medidas adecuadas de protección de los datos.

La privacidad por diseño promueve la visión de que el futuro de la privacidad no puede ser garantizado solo por cumplir con los marcos regulatorios, sino desde antes de que se recolecte la información y durante todo el ciclo de vida de la misma, es decir, todas las etapas por las que atraviesa este, desde su concepción hasta su retirada, pasando por las etapas de recolección, almacenamiento, uso, distribución y eliminación, se deben adoptar medidas preventivas para gestión del riesgo y de responsabilidad proactiva. La privacidad por defecto es la aplicación demostrable de la protección de datos que permita acreditar el cumplimiento de las obligaciones establecidas en la norma. Por esto, las medidas de privacidad desde el diseño deben estar conectadas con las medidas de privacidad por defecto.

Guía de Privacidad desde el Diseño [Agencia Española de Protección de Datos]. Octubre 2019. https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf

Ingeniería de la Protección de Datos, de la teoría a la práctica [ENISA]. Enero 2022. https://www.aepd.es/documento/enisa-ingenieria-de-la-proteccion-de-datos.pdf

Resolución número 64454 de 2021 [Ministerio De Comercio, Industria Y Turismo y Superintendencia De Industria Y Comercio]. Octubre 5 de 2021. https://sedeelectronica.sic.gov.co/sites/default/files/boletin-juridico/boletin/docs/Resoluci%C3%B3n%2064454%20de%205%20de%20octubre%20de%202021%20%28Alcald%C3%ADa%20Mayor%20de%20Bogot%C3%A1%29.pdf

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Juan Sebastian Miller Moreno

Diseñador Grafico

Estudiante de Diseño Industrial de la Universidad Jorge Tadeo Lozano.
Caracterizo por la creatividad y la capacidad a la hora de emplear herramientas digitales, para desarrollo de trabajo como, ilustración digital,
vectorial y diagramación. Con conocimientos básicos en modelado 3D, bocetación y vistas de objetos.
Apasionado por el Diseño, y con intereses en seguir adquiriendo conocimientos para desarrollar soluciones que satisfaga de manera creativa e innovadora las necesidades del cliente.

  • Diseño Industrial - Universidad Jorge Tadeo Lozano
Linkedin Instagram
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.
Política de cookies