La inteligencia artificial reconfigura la protección de datos personales en América Latina

La irrupción de la inteligencia artificial ha reconfigurado el debate sobre la privacidad y el uso de la información personal en todos los niveles sociales. Ciudadanos, empresas y gobiernos muestran crecientes inquietudes en torno al manejo de datos, un fenómeno que mueve agendas legislativas en regiones como América Latina.

Países como Colombia avanzan ya hacia nuevas normativas para responder a riesgos antes inexistentes, mientras la tecnología sigue transformando la vida digital a gran velocidad.

Qué información recolectan los modelos de inteligencia artificial

El panorama tecnológico actual muestra que no existe un único modelo de IA, sino una diversidad de soluciones y aplicaciones. La cantidad y el tipo de datos recolectados varían según el caso de uso.

Un asistente virtual puede solicitar datos básicos, como nombre o correo electrónico, mientras que una aplicación de diagnóstico médico trabaja con información mucho más sensible, como historiales clínicos o métricas biométricas.

En sistemas de reconocimiento facial o validación de identidad, las tecnologías llegan a procesar elementos como huellas, rasgos de rostro y grabaciones de voz, profundizando la complejidad del entorno digital contemporáneo.

Regulación legal en Colombia para la IA y tratamiento de datos personales

En el caso de Colombia, la protección de datos personales se encuentra respaldada por la Ley 1581 de 2012, el Decreto 1377 de 2013 y los lineamientos de la Superintendencia de Industria y Comercio (SIC). Estas regulaciones se aplican independientemente de las tecnologías utilizadas en la recolección.

De acuerdo con Lorenzo Villegas, socio de la firma de abofados CMS Rodríguez-Azuero, existe actualmente un proyecto de Ley Unificado de Inteligencia Artificial que apunta a establecer lineamientos integrales para el uso de IA, con énfasis en la protección de datos sensibles como biometría e imagen.

“En Colombia avanza la discusión del Proyecto de Ley Unificado de Inteligencia Artificial, una iniciativa del gobierno nacional que busca establecer un marco integral para el uso de estas tecnologías, con especial atención en la protección de datos sensibles como la voz, la imagen y la biometría”, indicó Villegas.

Adicionalmente, la Circular Externa 002 de 2024 introdujo exigencias, las organizaciones deben realizar evaluaciones de impacto antes de implementar sistemas que utilicen IA, recoger consentimiento informado de los usuarios y evitar el tratamiento de datos sensibles sin autorización expresa.

Estas disposiciones buscan fortalecer la privacidad en un mundo donde los datos personales circulan y se procesan a escalas inéditas.

El debate sobre regulación no es exclusivo de Colombia. En 2024, el Consejo de Europa abrió la firma del primer tratado vinculante sobre IA y derechos humanos. Por su parte, India discute ajustes normativos para responder al fenómeno de los deepfakes, y el Reino Unido propone nuevas reglas para el uso de tecnologías biométricas, como el reconocimiento facial.

Brasil y Chile, en tanto, promueven actualizaciones legislativas enfocadas en la incidencia de la IA en sectores clave como la salud y las finanzas. Pese al avance de la regulación, el uso masivo de datos, la proliferación de deepfakes y la falta de claridad sobre cómo operan los algoritmos representan desafíos crecientes.

Villegas advirtió que estos riesgos deben abordarse con el cumplimiento efectivo de las normativas internas y con acciones de autorregulación corporativa orientadas a mitigar el daño potencial.

Regulaciones a la IA a nivel mundial: un proceso disparejo

La opinión de expertos del sector, como Samer Atassi, vicepresidente para América Latina y el Caribe de Jumio, confirmó que la regulación enfrenta un ritmo tecnológico acelerado y realidades muy diversas entre mercados y sectores.

Atassi expresó en diálogo con Infobae: “Veo países con regulaciones muy maduras y otros con marcos legales atrasados. Hay sectores como el de apuestas en línea en Brasil, donde el control es estricto y se verifica identidad, origen de fondos y se solicita prueba de vida para evitar fraudes. En otras jurisdicciones, solo piden el documento, lo que resulta insuficiente dados los avances en IA y deepfakes”.

El ejecutivo destacó que la velocidad en la actualización normativa es insuficiente y recalcó la necesidad de adoptar cambios con mayor frecuencia: “La regulación no se puede cambiar cada cinco años. En ese periodo, la tecnología evoluciona de forma radical. Se requieren adaptaciones anuales para responder a los desafíos emergentes”.

Finalmente Atassi reflexionó sobre la necesidad de sofisticar los mecanismos de autenticación digital, resaltando que validar la identidad con una selfie hoy ya no es suficiente. Se requiere tecnología capaz de detectar deepfakes o ediciones de video.