La Ley 1581 de 2012, articulada con los pronunciamientos recientes de la Superintendencia de Industria y Comercio y con la jurisprudencia de la Corte Constitucional, ya impone obligaciones jurídicas exigibles a las empresas colombianas que desarrollan o utilizan sistemas de inteligencia artificial, incluso sin la ley específica que discute hoy el Congreso bajo el Proyecto de Ley 043 de 2025. Esa afirmación contradice una creencia frecuente entre operadores empresariales, según la cual las decisiones automatizadas funcionan en zona gris mientras no exista regulación expresa de la materia.
La Circular Externa 002 del 21 de agosto de 2024 SIC, en su rol de autoridad nacional de protección de datos, fijó deberes concretos para el tratamiento de datos en sistemas de IA: principios reforzados de transparencia, finalidad y calidad; enfoque preventivo que obliga a abstenerse o adoptar medidas precautorias cuando exista incertidumbre sobre daños potenciales; implementación de sistemas de administración de riesgos; y análisis de impacto en protección de datos cuando la IA pueda afectar derechos fundamentales.
El Concepto SIC del 16 de abril de 2025, radicado 25-86338, articuló por primera vez ese marco con el CONPES 4144 de 2025 como criterio interpretativo, frente a una consulta sobre IA en contact center. La SIC profundizó esa línea en el comunicado conjunto del 23 de febrero de 2026, firmado por 60 autoridades mundiales de protección de datos, que fijó expectativas operativas para organizaciones que usan IA generativa: medidas contra el uso indebido de información personal, transparencia significativa sobre capacidades y salvaguardas, mecanismos eficaces para eliminar contenido dañino y protección reforzada para menores de edad.
A esto se suma jurisprudencia constitucional. La Sentencia T-323 de 2024 de la Corte Constitucional, primera decisión colombiana sobre uso de IA, estableció principios aplicables a estas tecnologías más allá del caso judicial concreto: transparencia, supervisión humana de las decisiones, seguridad, responsabilidad, no discriminación, inclusión, protección reforzada de menores y promoción del bienestar social.
Para la empresas que operan con sistemas de IA hoy, el cumplimiento exige cuatro acciones concretas: (i) realizar evaluaciones de impacto en protección de datos cuando el sistema pueda afectar derechos fundamentales; (ii) conservar evidencia trazable que permita demostrar ante la SIC el principio de responsabilidad demostrada; (iii) ajustar contratos con proveedores tecnológicos para incorporar las garantías exigidas por la Circular 002 de 2025 sobre transferencia de tecnología; y (iv) diseñar mecanismos internos de gobernanza de los sistemas de IA que incluyan supervisión humana de las decisiones que afecten derechos.
El Proyecto de Ley 043 de 2025 ampliará estas obligaciones, pero el marco vigente ya basta para que la inacción empresarial constituya un riesgo regulatorio concreto y no una decisión prudente a la espera de claridad normativa.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp
