El pasado 21 de agosto de 2024, la Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa No. 002 de 2024, por medio de la cual establece los siguientes lineamientos para el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial.
Ponderación para la Implementación de la IA
Para la implementación de la Inteligencia Artificial en el Tratamiento de Datos Personales, se debe realizar una ponderación previa a fin de analizar la procedencia de su aplicación, observando cuatro (4) criterios:
- Idoneidad: El Tratamiento es capaz de alcanzar el objetivo propuesto.
- Necesidad: No existe otra medida igual de eficaz para conseguir el objetivo propuesto que sea mas moderada en cuanto al impacto que la Inteligencia Artificial pueda generar en las operaciones de Tratamiento de Datos Personales.
- Razonabilidad: El Tratamiento debe estar orientado a cumplir las finalidades constitucionales:
- Proporcionalidad en sentido estricto: Las ventajas obtenidas como consecuencia de la restricción del derecho a la protección de datos no deberán ser superadas por las desventajas de afectar el derecho al Habeas Data.
Identificación y Clasificación de Riesgos
Para la adecuación de los sistemas de riesgo que supone el tratamiento será necesario implementar y documentar un estudio de impacto de privacidad, previo al diseño e implementación de la IA, el cual deberá contener lo siguiente:
- Una descripción detallada de las operaciones de Tratamiento de Datos Personales.
- Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales, donde se identifique y clasifiquen claramente estos riesgos.
- Las medidas previstas para evitar la materialización de los riesgos, tales como:
- Medidas de seguridad.
- Diseño de software.
- Tecnologías y mecanismos que garanticen la protección de Datos personales.
Privacidad desde el Diseño y por Defecto.
Los riesgos asociados al Tratamiento de Datos personales en la Inteligencia Artificial deben estar sujetos a planificación y esfuerzos de mitigación proporcionales a la gravedad de los eventuales desafíos que se pueden generar.
El concepto de La Privacidad desde el Diseño y por Defecto (Privacy by Design and by Default), es destaca por la SIC como una medida proactiva para cumplir con el principio de Responsabilidad Demostrada, el cual consiste en aplicar técnicas matemáticas que impidan identificar a la persona que proporciona la información, con la finalidad de proteger el derecho fundamental a la privacidad de los titulares.
Conclusiones
Los lineamientos establecidos por la SIC para la implementación de la Inteligencia Artificial en los procesos de tratamiento de datos personales suponen la necesidad de observar las medidas que se tienen en la actualidad en cada compañía, a fin de establecer si las medidas de identificación, clasificación y prevención de riesgos se encuentran acorde con los nuevos retos que presenta el uso de la Inteligencia Artificial en la operación de la empresa.
El diseño y ejecución de estudios de privacidad previo a la implementación de Inteligencia Artificial, así como la aplicación de técnicas matemáticas que impidan identificar a la persona que proporcionan los datos personales con los cuales se alimenta la Inteligencia Artificial se destacan como medidas idóneas que deben incorporarse desde la Política de Tratamiento de Datos Personales de cada empresa, con la finalidad de que, desde su implementación, se cumpla a cabalidad con el principio de la Responsabilidad Demostrada en el Tratamiento de los Datos Personales.
Leave A Comment
You must be logged in to post a comment.