Responsabilidad Demostrada: reto del tratamiento de datos en los sistemas IA

El pasado 21 de agosto de 2024, la Superintendencia de Industria y Comercio, SIC, expidió la Circular Externa No. 002, mediante la cual emitió los Lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial, con el propósito de proveer a los Administradores de certidumbre sobre el tratamiento de datos personales, el desarrollo, despliegue o uso de sistemas de Inteligencia artificial; y asimismo brindar seguridad a los Titulares sobre el uso de sus datos personales en dichos sistemas.

Uno de los principales lineamientos de la Circular, se centra en el principio de responsabilidad demostrada o accountability, que establece que los Administradores de Datos Personales deben tomar “medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación” en materia de protección de Datos Personales.

En virtud de lo anterior, el lineamiento III exige, específicamente, que los Administradores que realicen el tratamiento de datos personales en Sistemas de Inteligencia Artificial, identifiquen, clasifiquen, midan, monitoreen, controlen y adopten medidas para mitigar los riesgos que se deriven de dicho tratamiento.

Al respecto, es importante mencionar que, en su Guía para la implementación del Principio de Responsabilidad Demostrada, la SIC establece que el estándar para cumplir con el deber derivado de este principio no se basa únicamente en la expedición de políticas o documentos que reproduzcan textos jurídicos o que incluyan meras declaraciones, sino que, por el contrario, se acredita con la adopción de políticas, procedimientos y medidas efectivas, que se desarrollen en el marco de un Programa Integral de Gestión de Datos Personales, y que sean resultado de un proceso de debida diligencia al interior de la organización.

En este sentido, y para efectos de cumplir con el lineamiento III de la Circular No. 002, no bastará con que los Administradores de Datos simplemente identifiquen, clasifiquen, midan, monitoreen y controlen los riesgos del tratamiento de datos personales en los sistemas de inteligencia artificial, con el objetivo de dar un único cumplimiento a la norma antes citada, pues el reto recae en la capacidad técnica, jurídica y administrativa que acrediten para llevar a cabo un proceso de debida diligencia continua y permanente a fin de identificar los riesgos reales y potenciales de dicho tratamiento.

Lo anterior, en función de adoptar medidas que sean realmente efectivas y adecuadas, más aún cuando, por su propia naturaleza, los sistemas de inteligencia artificial se encuentran en constante evolución, creando a su vez nuevos riesgos no previstos frente al tratamiento de datos personales.