Circulares Externas SIC 002 y 003: Cómo la Gerencia Debe Prepararse para el Uso Seguro de IA y el Manejo de Datos Personales

Conoce las claves de las Circulares Externas No. 002 y No. 003 de la SIC para la gerencia. Descubre cómo el tratamiento de datos personales en IA y las responsabilidades de los administradores son esenciales para evitar riesgos legales y proteger la confianza de los clientes.

Otros Artículos de Interés:

Las Circulares Externas No. 002 y No. 003 emitidas por la Superintendencia de Industria y Comercio en agosto de 2024 abordan dos temas cruciales para las organizaciones: el tratamiento de datos personales en sistemas de Inteligencia Artificial (IA) y las responsabilidades de los administradores en la gestión de estos datos. Estos documentos resultan esenciales para la gerencia y cargos directivos, que deben ser conscientes de su importancia en la toma de decisiones y en la implementación de políticas de cumplimiento. Ignorar estos lineamientos podría llevar a sanciones graves, y lo que es peor, a una pérdida de confianza de clientes y partes interesadas.

Circular Externa No. 002: Tratamiento de Datos Personales en Sistemas de IA

Esta circular ofrece lineamientos claros sobre cómo las organizaciones deben manejar los datos personales al implementar sistemas de IA. Esta, al necesitar grandes volúmenes de datos, enfrenta riesgos asociados al manejo de información sensible. En este contexto, los gerentes deben garantizar que los sistemas de IA que se estén empleando al interior de su organización respeten la normativa sobre protección de datos, tal como se especifica en la Ley Estatutaria 1581 de 2012 y la Ley 1266 de 2008.

Un punto crítico que se menciona en esta circular es la privacidad desde el diseño y por defecto. Esto implica que, desde el desarrollo de los sistemas de IA, se deben integrar mecanismos que garanticen la seguridad de los datos personales. Esto no solo incluye el cumplimiento básico, sino la implementación de métodos proactivos como la privacidad diferencial, que impide la identificación directa de los individuos dentro de los datos.

Para la alta gerencia, esto significa que antes de implementar cualquier sistema de IA que maneje datos personales, sensibles y/o confidenciales. Es vital verificar que tanto los términos y condiciones del servicio, así como la política de privacidad de la herramienta cumplan con las políticas de seguridad y privacidad de nuestra organización, Esto incluye realizar estudios de impacto de privacidad que evalúen riesgos y adopten las medidas necesarias para mitigar cualquier vulnerabilidad que pueda surgir. No solo se trata de proteger la información, sino de garantizar que los sistemas sean auditables y transparentes. Debido a ello, es crucial contar con el visto bueno del área de cumplimiento y acatar sus recomendaciones.

Circular Externa No. 003: Responsabilidades de los Administradores en el Tratamiento de Datos Personales

En esta circular se destacan las responsabilidades de los administradores societarios, especialmente cuando no se cuenta con un oficial de cumplimiento formal​. El mensaje principal es que, en ausencia de un oficial, los administradores son los responsables directos de la protección de los datos personales dentro de la organización.

La circular enfatiza el principio de responsabilidad demostrada o “accountability”, lo que implica que los administradores no solo deben cumplir con la normativa, sino también demostrar de manera proactiva que han implementado medidas adecuadas para garantizar el correcto manejo de los datos​. Este es un punto que la gerencia no puede pasar por alto: la falta de diligencia puede llevar a consecuencias severas, tanto legales como reputacionales.

Además, se destacan elementos esenciales que los directivos deben implementar, como políticas internas efectivas, mecanismos de control y monitoreo, y un enfoque preventivo que contemple estudios de impacto de privacidad​. En otras palabras, no basta con tener políticas escritas, sino que estas deben ser verificables y aplicables en el día a día de la organización.

El Rol de la Gerencia en el Uso de IA y Protección de Datos: Un Pilar para Evitar Riesgos a Futuro

En un contexto empresarial cada vez más impulsado por la tecnología, la Inteligencia Artificial (IA) ha pasado de ser una innovación emergente a una herramienta fundamental para mejorar la eficiencia operativa, tomar decisiones basadas en datos y crear nuevas oportunidades de negocio. Sin embargo, con esta adopción acelerada vienen también riesgos considerables, especialmente en lo que respecta a la protección de los datos personales. Aquí es donde el papel de la gerencia y cargos directivos se vuelve clave.

Muchos administradores y directivos subestiman la importancia de contar con un área de cumplimiento robusta o, en su ausencia, las implicaciones que tiene el asumir ellos mismos la responsabilidad sobre el manejo de la información. Las Circulares Externas No. 002 y No. 003 subrayan cómo la gerencia debe estar a la vanguardia en la protección de datos personales, especialmente cuando se trata del uso de IA dentro de las organizaciones. El problema radica en que, cuando no hay un oficial de cumplimiento, el administrador es quien asume la responsabilidad legal y operativa de garantizar el correcto manejo de la información sensible de clientes, empleados y socios. El incumplimiento de estas responsabilidades puede tener consecuencias devastadoras, tanto en términos legales como reputacionales.

La necesidad del visto bueno del área de cumplimiento antes de implementar IA

Uno de los errores más comunes en la gestión empresarial es dar por hecho que la implementación de nuevas tecnologías, como la IA, solo debe pasar por las áreas técnicas o de desarrollo. Este enfoque ignora un aspecto crítico: la protección de datos personales y la normativa que regula su tratamiento. La Circular No. 002 recalca que, antes de poner en marcha cualquier sistema que involucre IA, la gerencia debe garantizar que el área de cumplimiento apruebe su uso​.

¿Por qué es esto importante? Porque la IA no solo recolecta datos, sino que también en muchos de los casos los procesa, almacena y,, toma decisiones autónomas basadas en ellos o los usa para entrenar sus modelos de lenguaje. Estos datos, muchas veces, incluyen información sensible, como datos personales, financieros o de comportamiento de los clientes, lo que plantea un riesgo significativo si no se trata adecuadamente. Contar con el visto bueno del área de cumplimiento es indispensable para evitar que la organización se vea envuelta en brechas de seguridad o en conflictos legales por mal manejo de la información.

Políticas claras para el uso de IA y protección de datos por parte de los colaboradores

El uso de IA en las organizaciones no es una tarea exclusiva de los departamentos de tecnología. Los colaboradores que interactúan con estos sistemas también deben estar alineados con las políticas de manejo de datos personales, especialmente cuando se trata de información sensible de clientes. La alta dirección tiene la responsabilidad de establecer políticas internas claras y estrictas que regulen cómo los empleados utilizan la IA en sus labores diarias

Estas políticas no solo deben cubrir aspectos técnicos, como el diseño y la configuración de los sistemas de IA, sino también aspectos operativos. Por ejemplo, es fundamental que los colaboradores comprendan que la información a la que acceden o manejan a través de IA sigue estando sujeta a las mismas normativas de protección que se aplican en otros procesos más tradicionales. La información sensible no deja de serlo solo porque es procesada por una máquina. Los errores humanos, como el uso indebido de datos personales o la falta de diligencia en la protección de la información, pueden amplificarse en entornos impulsados por IA.

Evaluaciones preventivas y monitoreo constante

Uno de los enfoques propuestos en las circulares es la implementación de estudios de impacto de privacidad antes de desplegar cualquier sistema de IA. Estos estudios permiten a la gerencia identificar y mitigar riesgos antes de que los sistemas estén plenamente operativos, lo que es crucial para proteger la integridad de los datos personales. Además, las políticas de seguridad no deben verse como documentos estáticos; requieren de un monitoreo continuo y ajustes en función de la evolución de las amenazas tecnológicas.

Los administradores que no implementen estas evaluaciones preventivas corren el riesgo de que su organización sea vulnerable a fallas de seguridad, violaciones de datos, incumplimientos en contratos, pérdida de confianza, y posibles demandas por parte de los titulares de los datos afectados. La proactividad en este sentido no solo es deseable, sino que es una obligación en términos de cumplimiento normativo.

Consecuencias de no dar la importancia debida

En muchas ocasiones, los problemas relacionados con el cumplimiento y la protección de datos personales no reciben la atención que merecen hasta que surge una crisis. Un escándalo por violación de datos, una filtración de información sensible o una sanción impuesta por las autoridades regulatorias son ejemplos de situaciones que podrían haberse evitado si la gerencia hubiera priorizado estos temas desde el principio.

Cuando los administradores no consideran la gravedad de sus responsabilidades en cuanto al tratamiento de datos, pueden verse gravemente afectados tanto a nivel personal como corporativo. Los riesgos reputacionales son significativos; perder la confianza de los clientes puede afectar no solo las relaciones comerciales actuales, sino también las futuras oportunidades de negocio. Además, las sanciones legales pueden ser cuantiosas, afectando las finanzas de la empresa y exponiendo a los directivos a acciones judiciales.

Sin lugar a duda, la Inteligencia Artificial actualmente nos ofrece grandes ventajas competitivas, pero también nos plantea riesgos importantes que debemos abordar en materia de privacidad y protección de datos. Por ello, es fundamental que como organizaciones evaluemos exhaustivamente las garantías de privacidad de la información de las herramientas a usar, así como asegurarnos que los términos y condiciones de los servicios que se están usando, cumplan con las políticas de seguridad de nuestra organización.  También el visto bueno del área de cumplimiento es indispensable para garantizar un uso responsable y seguro de la IA.

Facebook
WhatsApp
Twitter
LinkedIn
Pinterest

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Webinar: Conferencia de sostenibilidad y gestión ambiental

17 de Octubre de 2024 - 3:00pm

Inscribirse al Webinar Gratuito
Abrir chat
Hola
¿En qué podemos ayudarle?