Mientras la digitalización y el uso de tecnologías corre, contar con una regulación para proteger la privacidad de los individuos y garantizar la seguridad de la información se vuelve una prioridad. Colombia ha avanzado en esta materia en los últimos años; sin embargo, urge renovar el marco normativo para estar en línea con los lineamientos internacionales y proteger más los derechos de los ciudadanos.
Que el consumidor pueda otorgar su consentimiento para que las empresas lo contacten, de acuerdo con su canal, hora y periodicidad de preferencia, y no al revés como solía pasar, cuando recibían llamadas un domingo en la noche, es un hito dentro de la normatividad de protección de datos en Colombia.
La importancia de la ley ‘Dejen de fregar’ o Ley 2300 de 2023 radica en que impone nuevas responsabilidades a las empresas que llevan a cabo actividades comerciales dirigidas a los titulares de la información. “Estas empresas deben adaptar sus prácticas para cumplir con las disposiciones que protegen la privacidad y los datos personales de los consumidores”, señala José Miguel de la Calle, socio de Garrigues.
Para Lorenzo Villegas Carrasquilla, socio de CMS Rodríguez-Azuero, esta ley “limitó los canales, la periodicidad del contacto, entre otros aspectos, que resulta en una restricción para el tratamiento de datos personales, salvo que el consumidor otorgue su consentimiento”.
Juanita Acosta, socia de Dentons Cárdenas & Cárdenas, señala que en el último año se han presentado varios proyectos de ley que buscan actualizar la normativa actual en materia de protección de datos, con el fin de que la regulación colombiana sea adecuada para enfrentarse y resolver los nuevos retos y desafíos que han traído consigo el desarrollo de nuevas tecnologías, entre ellos algunos proyectos de ley en relación con temas de inteligencia artificial y su impacto en temas de datos personales.
Acosta destaca también la Circular Externa 004 del 7 de febrero de este año, proferida por la Superintendencia Financiera de Colombia (SFC), que definió las reglas aplicables a las finanzas abiertas “y crea un nuevo capítulo de la Circular Básica Jurídica con el fin de establecer las obligaciones que deben cumplir las entidades vigiladas por la SFC para el tratamiento de los datos personales”.
Dentro de las oportunidades perdidas, Diego Cardona y Saella Moreno, de la firma Philippi Prietocarrizosa Ferrero DU & Uría (PPU Legal) lamentan que no haya sido aprobado en el Congreso el proyecto de ley por medio del cual se buscaba actualizar el régimen legal de protección de datos personales. “El proyecto desarrollaba varios temas interesantes que habrían introducido herramientas y conceptos modernos al régimen legal colombiano y que contribuían a incrementar la protección de los derechos de las personas, al tiempo que facilitaban formas de tratamiento que actualmente son complejas bajo la normativa vigente”.
Los nuevos retos
Tanto las empresas privadas como el sector público enfrentan nuevos retos legales en cuanto a protección de datos. Villegas resalta la necesidad de “abordar las nuevas tecnologías mientras se cumple con la regulación aplicable vigente, e inculcar e implementar una cultura de protección de datos sólida en las empresas y el sector público”.
De la Calle considera que uno de los principales retos en los ámbitos nacional e internacional radica en la implementación de medidas idóneas y eficaces en materia de ciberseguridad. “Las normas legales estatutarias de Colombia sobre privacidad y protección de datos hacen énfasis en la importancia de los principios de acceso y circulación restringida, seguridad y confidencialidad de la información. Esto exige un nivel de diligencia reforzado tanto en las empresas como en las entidades públicas para garantizar la reserva de los datos personales administrados en entornos digitales”.
Recuerda que en 2023 Colombia sufrió ciberataques masivos que afectaron a más de 20 entidades públicas y 78 privadas, lo que muestra los desafíos en materia de seguridad digital que enfrentan tanto las organizaciones públicas como privadas en el país. “Este panorama no es ajeno a la situación mundial, caracterizada por noticias de ransomware, phishing, spyware, malware y social hacking, entre otras amenazas que ponen en riesgo la integridad de la información personal”.
Acosta considera que los principales retos en protección de datos los representa “la necesidad del reconocimiento legal para nuevas bases de consentimiento ante las dificultades que presenta la autorización del titular. Aunque parezca sencillo, la autorización del titular como base legitimante principal bajo la ley actual y la dificultad en obtenerla en los términos requeridos bajo la ley ha dado lugar a la imposición de múltiples sanciones por parte de la Superintendencia de Industria y Comercio”.
Los incidentes de seguridad, la transferencia internacional de datos, el tratamiento de datos de menores, que ha resultado un reto significativo para las entidades, y la falta de regulación en inteligencia artificial (IA), son otros de los desafíos legales en Colombia.
Con este argumento coinciden Cardona y Moreno, quienes señalan que hasta el momento en Colombia no existe una regulación específica en materia de datos personales en relación con la IA. De hecho, es un tema que se encuentra poco regulado en el mundo.
Sin embargo, organizaciones como la Red Iberoamericana de Protección de Datos (RIPD), de la que la SIC forma parte, han desarrollado documentos en los que realizan algunas sugerencias a quienes desarrollan productos de IA, con el fin de que tengan en cuenta los lineamientos sobre tratamiento de datos personales. La SIC participó en la redacción del documento Recomendaciones generales para el tratamiento de datos en la inteligencia artificial, publicado por la RIPD en 2019.
Destacan los abogados de PPU Legal que la SIC ha promovido herramientas como el “Sandbox sobre privacidad desde el diseño y por defecto en proyectos de inteligencia artificial, el cual es un espacio preventivo, supervisado y de experimentación temporal en el que las personas que están interesadas en desarrollar proyectos de IA pueden crear soluciones de cumplimiento colaborativo en relación con las normas de protección de datos”.
El objetivo es que la SIC acompañe el desarrollo de proyectos de inteligencia artificial, que además de exitosos sean acordes con los derechos de protección de datos personales. “Esta iniciativa es consistente con las recomendaciones establecidas en el Conpes 3975 de 2019 (Política Nacional para la Transformación Digital e Inteligencia Artificial)”, destacaron los abogados.
