Bayron Prieto
Perito informático

El régimen de protección de datos personales en Colombia, establecido por la Ley 1581 de 2012 y desarrollado a través de diversas normas reglamentarias y pronunciamientos de la Superintendencia de Industria y Comercio (SIC), parte de una premisa fundamental: los datos personales son una extensión del titular y, por tanto, deben ser protegidos con el mismo rigor con el que se protege la dignidad humana. Sin embargo, en la última década, el auge de la inteligencia artificial (IA) ha introducido nuevas dinámicas en la manera como se tratan estos datos, ampliando e incluso desafiando conceptos tradicionales del régimen.

La aplicación de tecnologías de IA en la toma de decisiones, la automatización de procesos y la predicción de comportamientos ha traído consigo beneficios significativos para sectores como la salud, el comercio, la educación y el gobierno. No obstante, también ha generado preocupaciones legítimas sobre la transparencia, la responsabilidad y la ética en el tratamiento de la información personal. En este contexto, es necesario repensar y reinterpretar algunos conceptos jurídicos del régimen colombiano de protección de datos a la luz de la IA.

Según el artículo 3º de la Ley 1581 de 2012, el responsable del tratamiento es la “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los datos”. Esta definición tiene dos elementos clave: la capacidad de decisión sobre los datos y la titularidad de dicha decisión, que puede ser ejercida individualmente o en asociación con otros actores.

Durante años, esta definición fue interpretada con base en la comprensión tradicional de las relaciones humanas y organizacionales. El responsable era, sin mayor discusión, una entidad o persona humana que, consciente de su rol, determinaba los fines y medios del tratamiento de datos. Sin embargo, con la introducción de sistemas de IA capaces de aprender, razonar y tomar decisiones de manera autónoma, surge una inquietud legítima: ¿puede una IA “decidir” sobre el tratamiento de los datos personales? Y si lo hace, ¿sigue siendo válida la atribución de responsabilidad únicamente a los humanos o las organizaciones que la implementan?

En la práctica, muchos modelos de IA, especialmente los basados en aprendizaje automático, toman decisiones sin intervención humana directa. Desde motores de recomendación hasta sistemas de puntuación crediticia o diagnóstico médico, la IA no solo procesa grandes volúmenes de datos, sino que identifica patrones y toma acciones con base en ellos. En algunos casos, estas decisiones pueden implicar consecuencias importantes para los titulares de los datos.

Si aceptamos que una IA puede, de facto, tomar decisiones, entonces estamos ante un fenómeno de “delegación de la voluntad” que no estaba contemplado de forma expresa en la ley. La IA se convierte así en una extensión técnica de la voluntad del responsable del tratamiento, pero con un margen de autonomía que puede escapar al control y previsibilidad humanos.

En este contexto, el verbo “decidir” adquiere un nuevo matiz. Ya no se refiere exclusivamente a una acción consciente realizada por un sujeto humano, sino también a procesos algorítmicos complejos que, mediante criterios previamente establecidos (aunque no siempre comprendidos en su totalidad por los desarrolladores o usuarios), generan resultados autónomos. Esto obliga a replantear el concepto jurídico de la decisión y, en consecuencia, el alcance de la responsabilidad.

Delegación

Otro aspecto interesante de la definición legal es la mención de que el responsable puede actuar “por sí mismo o en asocio con otros”. Tradicionalmente, esta expresión se interpretaba como una referencia a alianzas entre personas naturales o jurídicas. No obstante, en la práctica actual, la IA opera cada vez más como un “socio tecnológico” en el tratamiento de datos personales. No se trata solo de una herramienta instrumental, sino de un agente técnico que colabora en la toma de decisiones.

Este papel de la IA como socio introduce desafíos importantes. En primer lugar, plantea interrogantes sobre los límites de la delegación de funciones sensibles, especialmente aquellas que involucran derechos fundamentales como la privacidad y la autodeterminación informativa. En segundo lugar, complica la trazabilidad de las decisiones, puesto que en muchos sistemas de IA –especialmente los que funcionan como “cajas negras” – no es posible identificar con precisión cómo se llegó a una determinada conclusión.

La asociación con una IA no exime al humano o a la organización de su deber de diligencia. Antes bien, lo incrementa. Quien decide incorporar un sistema de IA en sus procesos de tratamiento de datos debe asegurarse de que dicho sistema respete los principios fundamentales del régimen de protección: legalidad, finalidad, libertad, veracidad, acceso, seguridad, transparencia y confidencialidad. El uso de IA no puede convertirse en un mecanismo para eludir responsabilidades ni para diluir la trazabilidad de las decisiones.

La introducción de la IA en el tratamiento de datos personales también plantea desafíos éticos de gran envergadura. Uno de ellos es la asimetría de poder entre quienes desarrollan o controlan sistemas de IA y los titulares de los datos. En muchos casos, los ciudadanos no saben que están siendo evaluados o perfilados por algoritmos, y mucho menos conocen los criterios que se están utilizando para tomar decisiones que les afectan.

Este escenario puede conducir a situaciones de discriminación algorítmica, afectación del derecho a la intimidad y pérdida de control sobre los propios datos. Además, plantea una tensión entre eficiencia y derechos fundamentales: ¿hasta qué punto es legítimo sacrificar transparencia o intervención humana en nombre de la automatización?

La ética del tratamiento de datos en la era de la IA exige que los responsables actúen con un alto grado de conciencia y precaución. Deben establecer mecanismos de auditoría algorítmica, garantizar la explicabilidad de los modelos utilizados y ofrecer vías efectivas para que los titulares puedan ejercer sus derechos. Esto incluye el derecho a la información, el derecho al acceso, el derecho a la rectificación y, especialmente, el derecho a oponerse a decisiones automatizadas cuando estas produzcan efectos jurídicos significativos.

Criterios orientadores

Es así como se deben promover criterios orientadores que reconozcan:

(i) Que la decisión automatizada también puede ser una forma válida de “decisión” en los términos del régimen, siempre que sea atribuible a un responsable humano o jurídico que garantice su legalidad.

(ii) Que la asociación con una IA debe entenderse como una forma de corresponsabilidad, donde el control efectivo y la supervisión del sistema son elementos esenciales.

(iii) Que el deber de diligencia se incrementa cuando se introducen tecnologías complejas que pueden tener efectos significativos e imprevisibles.

(iv) Que la ética del tratamiento no es un elemento accesorio, sino central, especialmente cuando la autonomía humana se delega parcialmente en sistemas no humanos.

De acuerdo con lo anterior, la IA generativa no elimina la necesidad de proteger los datos personales; al contrario, la hace más urgente y compleja. En Colombia, el régimen de protección de datos ofrece herramientas valiosas, pero requiere una lectura actualizada que tenga en cuenta las nuevas realidades tecnológicas. Conceptos como “responsable del tratamiento” o “asociación” deben ampliarse para incluir las formas contemporáneas de delegación algorítmica y toma de decisiones automatizadas.

Más allá de los ajustes normativos que puedan ser necesarios en el futuro, el gran reto está en mantener el foco en los principios fundamentales: el respeto por la dignidad humana, la autodeterminación informativa y la rendición de cuentas. Frente a una IA cada vez más presente en nuestra vida cotidiana, la protección de los datos personales debe ser no solo un marco legal, sino también una convicción ética.      

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.