En 2025 una empresa latinoamericana de comercio electrónico descubrió que su sistema de inteligencia artificial había estado procesando datos personales sensibles sin los consentimientos adecuados. El problema no fue la tecnología en sí misma. El problema fue la ausencia de gobernanza de datos. Cuando la Superintendencia de Industria y Comercio (SIC) inició la investigación, el hallazgo fue claro: la organización tenía herramientas avanzadas de analítica, pero no contaba con políticas claras de tratamiento de datos, ni registro actualizado en el RNBD, ni protocolos para el uso de inteligencia artificial sobre información personal. Casos como este están comenzando a repetirse en empresas, conjuntos residenciales, startups digitales e incluso entidades públicas. La IA amplifica el valor de los datos, pero también multiplica los riesgos legales y reputacionales si no existe un marco claro de protección. En Colombia, la Ley 1581 de 2012 sigue siendo el pilar del sistema, pero la realidad tecnológica exige una evolución urgente.
👉 LEE NUESTRO BLOG, te abrirá los ojos.
La nueva realidad: la inteligencia artificial depende de los datos
Hoy prácticamente toda inteligencia artificial depende de datos. Datos de clientes, empleados, usuarios, pacientes, estudiantes o ciudadanos. Sin datos, la IA no aprende, no predice, no optimiza procesos.
Pero aquí aparece el primer gran dilema del mundo digital moderno.
Durante años las empresas se concentraron en recolectar datos sin una estrategia clara de gobernanza. Formularios web, cámaras de videovigilancia, registros de visitantes, aplicaciones móviles, plataformas de comercio electrónico, CRM, software contables y herramientas de marketing digital comenzaron a acumular información personal.
Ahora, cuando muchas organizaciones quieren aplicar inteligencia artificial a esos datos, descubren un problema profundo: no saben realmente si tienen derecho legal para usarlos.
Ese escenario es exactamente el que la legislación de protección de datos busca evitar.
En Colombia, la Ley 1581 de 2012, desarrollada por el Decreto 1377 de 2013, establece que cualquier organización que trate datos personales debe cumplir principios fundamentales como finalidad, libertad, veracidad, seguridad y confidencialidad.
La Sentencia C-748 de 2011 de la Corte Constitucional reforzó además que el derecho al habeas data es un derecho fundamental vinculado con la dignidad humana.
Cuando la inteligencia artificial entra en escena, estos principios se vuelven todavía más críticos.
Porque la IA no solo usa datos: los cruza, los analiza y genera inferencias sobre las personas.
Eso significa que un mal uso puede producir discriminación algorítmica, decisiones automatizadas injustas o tratamientos indebidos de información sensible.
Cuando la falta de gobernanza termina en sanciones
En Colombia, la Superintendencia de Industria y Comercio ha impuesto múltiples sanciones relacionadas con el mal manejo de datos personales.
Casos como los procesos sancionatorios contra Movistar, Rappi o Banco Caja Social han evidenciado fallas en la gestión de información personal, ya sea por incumplimiento del principio de seguridad, por ausencia de autorización válida o por deficiencias en los procedimientos de atención de derechos de los titulares.
También existen decisiones relacionadas con empresas de seguridad privada y sistemas de videovigilancia, donde la SIC ha reiterado que la instalación de cámaras implica tratamiento de datos personales y exige avisos visibles, finalidades claras y políticas de tratamiento.
Otro escenario frecuente aparece en colegios y entidades educativas, donde el tratamiento de datos de niños, niñas y adolescentes (NNA) requiere un nivel de protección reforzado.
Y en propiedades horizontales, donde las cámaras de seguridad, registros biométricos o listas de residentes deben cumplir con protocolos específicos.
Ahora imaginemos el siguiente escenario.
Un conjunto residencial instala un sistema de inteligencia artificial para reconocimiento facial en el acceso al edificio.
Desde el punto de vista tecnológico parece una mejora en seguridad.
Pero si no existe autorización expresa de los residentes, política de tratamiento clara, medidas de seguridad adecuadas y registro del tratamiento en el RNBD, el sistema puede convertirse en una violación del derecho fundamental al habeas data.
Este tipo de situaciones ya están comenzando a aparecer en las consultas que recibimos en TODO EN UNO.NET.
El problema de fondo: la gobernanza de datos aún es débil
La mayoría de empresas en Colombia no tienen un problema tecnológico.
Tienen un problema de gobernanza de datos.
La gobernanza de datos implica establecer reglas claras sobre:
qué datos se recolectan
para qué se utilizan
quién puede acceder a ellos
cuánto tiempo se conservan
cómo se protegen
Cuando una organización no define estos aspectos, la tecnología comienza a operar sin dirección.
Y cuando entra la inteligencia artificial, la situación se vuelve más compleja.
Un algoritmo puede analizar bases de datos históricas para identificar patrones de comportamiento de clientes.
Pero si esos datos fueron recolectados para otra finalidad, el uso puede violar el principio de finalidad establecido en la Ley 1581.
Es decir: la IA puede ser legal o ilegal dependiendo del contexto de gobernanza.
Lo que está pasando en el mundo
Colombia no está sola enfrentando este desafío.
En Europa, el Reglamento General de Protección de Datos (GDPR) estableció uno de los sistemas más avanzados del mundo para la protección de información personal.
Entre sus principios destacan la responsabilidad proactiva, la evaluación de impacto en protección de datos (DPIA) y la limitación del tratamiento automatizado de decisiones.
En Estados Unidos, el California Consumer Privacy Act (CCPA) introdujo derechos ampliados para los consumidores respecto al uso de sus datos.
Brasil, por su parte, implementó la Lei Geral de Proteção de Dados (LGPD), que guarda similitudes importantes con el GDPR y con el modelo colombiano.
Estos marcos regulatorios coinciden en un punto fundamental.
La protección de datos ya no es solo un tema jurídico.
Es un tema de gobernanza organizacional.
Las empresas que no gestionen correctamente sus datos enfrentarán no solo sanciones legales, sino también pérdida de confianza.
El nuevo desafío: la inteligencia artificial regulada
En 2024 la Unión Europea aprobó el AI Act, una regulación que clasifica los sistemas de inteligencia artificial según su nivel de riesgo.
Algunos usos de IA se consideran de alto riesgo, especialmente aquellos que afectan derechos fundamentales de las personas.
Entre ellos se encuentran sistemas de reconocimiento facial, scoring crediticio automatizado o decisiones laborales basadas en algoritmos.
Este tipo de regulaciones anticipa el futuro de la protección de datos en el mundo.
La IA ya no podrá desarrollarse sin controles claros de gobernanza.
Y en Colombia, aunque todavía no existe una ley específica sobre inteligencia artificial, la SIC ha emitido lineamientos sobre ética en IA y protección de datos, enfatizando que cualquier desarrollo tecnológico debe respetar el marco del habeas data.
El modelo ideal de protección de datos en el mundo
Si observamos la evolución internacional, el modelo ideal de gobernanza de datos combina varios elementos.
Primero, un marco legal sólido que reconozca la protección de datos como derecho fundamental.
Segundo, autoridades regulatorias con capacidad de supervisión efectiva.
Tercero, responsabilidad demostrada dentro de las organizaciones.
Y cuarto, cultura organizacional orientada a la protección de datos.
En la práctica, esto significa que las empresas deben integrar la protección de datos en su estrategia corporativa.
No como un trámite, sino como un componente esencial de confianza.
El modelo que Colombia necesita fortalecer
Colombia ya cuenta con bases jurídicas sólidas gracias a la Ley 1581 y al trabajo de la SIC.
Sin embargo, el país necesita avanzar en tres frentes.
Primero, mayor claridad sobre el uso de inteligencia artificial en relación con datos personales.
Segundo, fortalecimiento de la responsabilidad demostrada dentro de las empresas.
Tercero, integración entre protección de datos, ciberseguridad y gobernanza digital.
Las organizaciones que logren integrar estos elementos estarán mejor preparadas para competir en la economía digital.
Cómo resolver este problema con TODO EN UNO.NET
Durante más de una década acompañando organizaciones en la implementación de la Ley 1581, hemos aprendido algo fundamental.
Cada empresa tiene riesgos distintos.
Por eso el proceso comienza con un análisis inicial, donde identificamos brechas en políticas, contratos, bases de datos, videovigilancia y tratamiento de información.
Después viene la definición estratégica, donde estructuramos el modelo de gobernanza de datos conforme a la normativa colombiana y a estándares internacionales.
Finalmente, realizamos la implementación y acompañamiento, que incluye manuales de protección de datos, políticas de tratamiento, registro en RNBD, protocolos de videovigilancia y procedimientos para el tratamiento de datos de menores.
Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.
Hace algunos meses un administrador de propiedad horizontal nos contactó preocupado.
Habían instalado cámaras de seguridad inteligentes con reconocimiento facial.
El proveedor tecnológico aseguró que el sistema era seguro y moderno.
Pero nadie había revisado el componente legal.
Cuando analizamos el caso encontramos varios problemas: ausencia de autorización expresa de residentes, falta de aviso de videovigilancia adecuado y ausencia de políticas claras de tratamiento.
Trabajamos con la administración para estructurar la gobernanza de datos del conjunto.
Se definieron finalidades claras, se actualizaron los avisos de privacidad y se implementaron protocolos de seguridad.
Hoy el sistema sigue funcionando.
Pero ahora lo hace dentro de la legalidad.
La diferencia no fue la tecnología.
Fue la gobernanza.
En TODO EN UNO.NET creemos que la protección de datos no debe verse como un obstáculo para la innovación. Por el contrario, es la base que permite que tecnologías como la inteligencia artificial se utilicen de manera responsable, ética y sostenible. Cuando una organización implementa correctamente políticas de tratamiento de datos, protocolos de videovigilancia, procedimientos para el manejo de datos de niños, niñas y adolescentes, y mecanismos de responsabilidad demostrada, está construyendo algo mucho más valioso que un simple cumplimiento normativo: está construyendo confianza. Nuestro enfoque combina diagnóstico estratégico, implementación normativa y acompañamiento permanente para asegurar que las empresas no solo cumplan con la Ley 1581, el Decreto 1377 y las guías de la SIC, sino que también estén preparadas para los retos de la economía digital. Este enfoque se conecta con nuestra estrategia de Producto Mínimo Viable, donde ofrecemos diagnósticos iniciales y revisiones exprés de políticas que permiten identificar rápidamente riesgos críticos. Transformamos el cumplimiento en confianza y ventaja competitiva, ayudando a que tu empresa utilice los datos de forma responsable, segura y alineada con los estándares internacionales de protección de información.
Agendamiento: Agenda una consulta
YouTube: Todo En Uno
NET
Twitter (X): Todo En Uno NET
Facebook: Todo En Uno
NET
Instagram: Todo En Uno
NET
LinkedIn: Todo En Uno NET
Comunidad de WhatsApp: Únete a
nuestros grupos
Comunidad de Telegram: Únete a nuestro canal
PAGINA WEB: Todo En Uno Net S.A.S. – Tecnología que no se
detiene
Blog: CUMPLIMIENTO HABEAS DATA -
DATOS PERSONALES
👉 “¿Quieres más tips como este? Únete al grupo exclusivo de WhatsApp o
Telegram”.
Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.
