La gobernanza de IA en Colombia ¿Por qué las empresas colombianas no deben esperar una ley de inteligencia artificial?

*Realizada con colaboración de Ulf Thoene, Profesor Asociado de la Escuela Internacional
de Ciencias Económicas y Administrativas de la Universidad de La Sabana

La discusión sobre inteligencia artificial en Colombia suele partir de una premisa equivocada: que las obligaciones empresariales en materia de Inteligencia Artificial (en adelante IA) comenzarán cuando exista una ley integral. Esa lectura puede ser cómoda, pero es profundamente riesgosa. Aunque Colombia todavía no cuenta con una ley general que regule de manera completa el diseño, contratación y uso de sistemas de inteligencia artificial, las empresas que desarrollan, adquieren o implementan estas tecnologías ya operan dentro de un marco normativo vigente.

La Ley 1581 de 2012 de marco general de protección de datos, no fue redactada pensando en modelos generativos, sistemas predictivos, asistentes virtuales o herramientas de automatización empresarial. Sin embargo, su lógica sigue siendo plenamente aplicable cuando una organización recolecta, almacena, cruza, analiza, infiere o perfila información asociada a personas naturales. La novedad de la IA no está en que los datos hayan dejado de estar regulados, sino en que estas tecnologías aumentan la escala, velocidad y opacidad del tratamiento. Por eso, el problema no es únicamente tecnológico: es de cumplimiento, gobierno corporativo y gestión del riesgo.

La primera idea que deberían asumir las empresas es simple: la ausencia de una ley integral de inteligencia artificial no equivale a ausencia de regulación. Si una herramienta de IA utiliza datos personales para entrenar, probar, alimentar, segmentar, recomendar o tomar decisiones, se activan deberes ya conocidos: finalidad, autorización, circulación restringida, seguridad, transparencia, calidad del dato y garantía de derechos de los titulares. En otras palabras, la pregunta correcta no es cuándo llegará la ley de IA, sino qué obligaciones actuales se activan cada vez que una empresa usa IA con datos personales.

La segunda señal relevante proviene de la Superintendencia de Industria y Comercio. La Circular Externa 002 de 2024 fijó lineamientos sobre el tratamiento de datos personales en sistemas de inteligencia artificial. Ese documento no crea una ley de IA, pero sí envía un mensaje regulatorio claro: el uso de sistemas inteligentes debe leerse a la luz del régimen colombiano de protección de datos. La autoridad busca dar mayor certeza a quienes desarrollan, despliegan o utilizan sistemas de IA, pero también proteger a los titulares cuando estos sistemas participan en decisiones autónomas o asistidas mediante predicciones, clasificaciones o recomendaciones. La Circular 002 de 2024 señala que la IA en Colombia debe cumplir las normas de protección de datos personales, aclarando que aunque los datos esten disponibles en internet no son automáticamente de libre uso para los sistemas de IA. Al mismo tiempo, exige responsabilidad demostrada, e incorporar la dimension de la privacidad desde el propio diseño y como criterio vertebral de la gestión de riesgos. Al mismo tiempo invita a realizar evaluaciones de proporcionalidad e impacto cuando la IA pueda afectar derechos.

La tercera advertencia es especialmente importante para áreas de mercadeo, recursos humanos, riesgo, servicio al cliente y analítica comercial: los datos públicos no son carta blanca. Que una información sea accesible en internet no significa necesariamente que pueda ser recolectada, procesada y reutilizada sin límites. Este limite es decisivo para prácticas como scraping, entrenamiento de modelos, monitoreo reputacional, análisis de clientes, segmentación de consumidores, selección de personal o campañas automatizadas, habituales en estos sectores.

La cuarta idea tiene que ver con la contratación tecnológica. Muchas empresas no desarrollan sus propios sistemas de IA, sino que contratan herramientas de terceros. Pero la responsabilidad jurídica no desaparece porque el proveedor sea externo o porque la herramienta funcione en la nube. Si una organización utiliza una solución de IA para evaluar candidatos, asignar cupos, estimar riesgo crediticio, priorizar clientes, automatizar respuestas, perfilar consumidores o apoyar decisiones administrativas, debe revisar los contratos suscritos, roles de responsable y encargado, transferencias internacionales, medidas de seguridad, auditoría, conservación de datos y mecanismos de atención de reclamaciones.

La quinta idea es que el cumplimiento en IA debe ser preventivo. Esperar a que exista una ley integral puede producir una falsa sensación de seguridad. En la práctica, los riesgos ya están presentes: tratamientos sin autorización suficiente, finalidades ambiguas, reutilización excesiva de datos, sesgos contra ciertos grupos, falta de explicación ante decisiones automatizadas, exposición de información sensible o dependencia de proveedores que no ofrecen garantías adecuadas. Una política interna de IA que ignore la protección de datos nace incompleta.

Esto obliga a cambiar la conversación empresarial. La inteligencia artificial no puede tratarse solo como una herramienta de eficiencia, innovación o reducción de costos. Debe tratarse también como un asunto de compliance. Antes de implementar una solución de IA, una empresa debería poder responder preguntas básicas: qué datos personales usa el sistema; con qué finalidad; si puede o no hacerlo y bajo que parámetros; qué medidas de seguridad y trazabilidad existen; quién responde por errores, sesgos o usos no autorizados; y cómo puede el titular ejercer sus derechos.

El punto no es frenar la innovación. Por el contrario, una empresa que quiere usar IA de manera sostenible necesita reglas internas claras. Esto implica mapear los casos de uso, clasificar los datos involucrados, revisar autorizaciones, documentar finalidades, evaluar riesgos, limitar accesos, exigir garantías contractuales a proveedores, capacitar equipos y diseñar canales efectivos para que los titulares puedan ejercer sus derechos. La confianza no será un resultado automático de la tecnología; dependerá de la capacidad de demostrar que la empresa sabe qué hace con los datos y por qué. En este punto, metodologías como Z-Inspection®, con Tech4Peace como unico partner especializado, pueden ayudar a convertir estos principios en procesos verificables de evaluación ética, jurídica y técnica de sistemas de IA.

La futura ley de inteligencia artificial podrá precisar obligaciones, definir categorías de riesgo, establecer autoridades competentes o crear mecanismos específicos de supervision, pero el cumplimiento no empieza en el futuro. En Colombia, la primera capa de gobernanza empresarial de la inteligencia artificial ya existe. Las empresas que entiendan esto llegarán mejor preparadas a cualquier regulación posterior. Las que esperen pasivamente una ley de IA puede que cuando deban hacerlo ya sea demasiado tarde.