Brick Abogados

Contacto

Novedades de la Superintendencia de Industria y Comercio en materia de Tratamiento de Datos Personales

/ Noticias / Por

Preparado por Mariana Rojas

A finales de agosto de 2024, la Superintendencia de Industria y Comercio (SIC), la principal autoridad en la protección de datos personales en Colombia, emitió dos circulares clave que refuerzan la regulación en el tratamiento de datos personales. Estas normativas se enfocan especialmente en los sistemas de inteligencia artificial (IA) y en las responsabilidades de los administradores sociales.

La Circular Externa No. 003, emitida el 22 de agosto, establece que los administradores sociales, entre ellos los representantes legales, los miembros de la asamblea de accionistas y los integrantes de la junta directiva, pueden ser corresponsables del cumplimiento de las obligaciones relacionadas con la protección de datos personales. Esto requiere que los administradores identifiquen y gestionen los riesgos que puedan poner en peligro los derechos y libertades de los titulares de los datos.

Entre las obligaciones incluidas en esta circular, los administradores deben implementar medidas de seguridad adecuadas, clasificar los riesgos e incorporar tecnologías que garanticen la protección de la información personal. Asimismo, es esencial que incluyan en sus políticas internas un componente de gestión de riesgos que permita una evaluación constante de vulnerabilidades, asignando los recursos necesarios para mitigar posibles incidentes. Además, se establece que los estudios de impacto de privacidad deben ser detallados y reflejar tanto la evaluación de riesgos como las operaciones de tratamiento de datos, garantizando su correcta administración y seguridad.

Por otra parte, la Circular Externa No. 002, emitida el 21 de agosto de 2024, se enfoca en la regulación del tratamiento de datos personales en sistemas de inteligencia artificial. Reconociendo la influencia de la IA en múltiples ámbitos sociales y la dependencia de esta tecnología en grandes volúmenes de datos, muchos de los cuales pueden ser personales, la SIC ha establecido una serie de lineamientos destinados a garantizar un manejo adecuado y seguro de esta información.

Siguiendo la jurisprudencia reciente de la Corte Constitucional, la SIC resalta que tanto la Ley 1266 de 2008 como la Ley 1581 de 2012 son tecnológicamente neutrales. Esto significa para el uso de nuevas tecnologías como la IA, se requiere tener una orientación adicional para prevenir en materia de tratamiento de datos personales, riesgos que comprometan el consentimiento de los titulares y su derecho a la privacidad.

En este sentido, la SIC establece una serie de determinaciones para el tratamiento de datos en IA:

  1. Principios del Tratamiento: El tratamiento de datos debe ser idóneo, necesario, razonable y proporcional, siempre asegurando que las ventajas no superen las desventajas en cuanto a la restricción del derecho a la privacidad.
  2. Medidas Preventivas: En situaciones de incertidumbre sobre los daños potenciales, deben adoptarse medidas preventivas para proteger los derechos de los titulares o abstenerse de tratar los datos.
  3. Gestión de Riesgos: Los administradores deben implementar sistemas de gestión de riesgos que permitan identificar, controlar y monitorear cualquier amenaza a la protección de los datos.
  4. Estudio de Impacto de Privacidad: Antes de desarrollar proyectos de IA que presenten un alto riesgo, debe llevarse a cabo un estudio detallado que incluya una evaluación de los riesgos y las medidas necesarias para evitarlos.
  5. Veracidad y Exactitud: Los datos utilizados en IA deben ser completos, exactos y comprobables, prohibiéndose el tratamiento de información inexacta o incompleta.
  6. Medidas de Seguridad: Estas deben abarcar tanto aspectos tecnológicos como humanos, administrativos y físicos, y ser auditables para garantizar su mejora continua.

Finalmente, la SIC aclara que la información disponible en internet no es de libre acceso, por lo que los administradores deben obtener la autorización correspondiente para tratar datos personales privados, semiprivados o sensibles disponibles en línea, asegurando el consentimiento previo de los titulares.

Con estas dos circulares, la SIC fortalece el marco normativo para garantizar la protección de los datos personales, tanto en el contexto de la inteligencia artificial como en las responsabilidades asignadas a los administradores sociales. Sin embargo, aún no es del todo claro el alcance de la responsabilidad que se les asigna a estos administradores en cuanto al tratamiento de datos personales, especialmente respecto a las implicaciones jurídicas de su incumplimiento. Se espera que futuros pronunciamientos de la SIC brinden mayor claridad y seguridad jurídica sobre las obligaciones y riesgos que enfrentan los administradores en este ámbito crucial para la protección de la privacidad en Colombia.

No duden en contactar a Brick Abogados si tienen alguna inquietud o si desean ampliación sobre el tema anteriormente expuesto.

****

 El presente documento es de carácter exclusivamente informativo, por lo cual no constituye asesoría legal y no compromete la responsabilidad ni la opinión profesional de Brick Abogados.

Contacto
Contacto