Mediante la Resolución 38281 del 14 de julio de 2020, la Delegatura para la protección de datos personales de la Superintendencia de Industria y Comercio de la República de Colombia concluyó lo siguiente:
La Ley Estatutaria 1581 de 2012 sobre protección de datos personales es neutral tecnológica y temáticamente. Ello significa que aplica a cualquier Tratamiento con independencia de las técnicas, procesos o tecnologías –actuales o futuras- que se utilicen para dicho efecto. Por ende, debe observarse en la recolección, uso y Tratamiento de datos personales para diversos fines (marketing, políticos, cobro de cartera, etc) mediante el uso de técnicas o herramientas como, entre otras, “marcadores predictivos”, “robocalls”, “nuisance calls” e inteligencia artificial (IA).
Según el Delegado Nelson Remolina, la regulación sobre Tratamiento de Datos Personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías (“marcador predictivo”, “robocalls”, inteligencia artificial, entre otras) que se utilicen para recolectar, usar o tratar ese tipo de información. La ley colombiana permite el uso de tecnologías para tratar datos pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre Tratamiento de datos personales.
Es legítimo el Tratamiento de datos personales (números telefónicos) a través de cualquier metodología o tecnología, como, por ejemplo, el “marcador predictivo”, “robocalls”, “nuisance calls”, inteligencia artificial, siempre y cuando se haya obtenido la Autorización previa, expresa e informada de las personas destinatarias de las llamadas telefónicas.
Los marcadores predictivos, las “robocalls” y las “nuisance calls” se han venido perfeccionando con herramientas de inteligencia artificial para mejorar su efectividad y, en algunos casos, ocultar el hecho de que el Titular está hablando con una máquina. También se utilizan algoritmos predictivos en las campañas del call center para identificar y contactar las personas con las cuales existe mayor probabilidad de venderle un producto.
Se precisó que la Inteligencia Artificial involucra la recolección, el almacenamiento, el análisis, procesamiento o interpretación de enormes cantidades de información (incluídos los Datos Personales) que son usados para generar diversos resultados, acciones o comportamientos por parte de las maquinas. En otras palabras, los datos personales son el alimento o el combustible de la IA y mediante la misma se realizan Tratamientos de dicha información, los cuales deben ser respetuosos de la Ley 1581 de 2012 y sus normas reglamentarias.
Recordó Remolina que sobre este tema, en junio de 2019 la RED IBEROAMERICANA DE PROTECCIÓN DE DATOS -RIPD- emitió las ”Recomendaciones generales para el tratamiento de datos en la inteligencia artificial”, en donde se realizan las siguientes sugerencias a quienes desarrollan productos de IA, con el fin de orientarlos para que desde el diseño de los mismos se tengan en cuenta las exigencias de las regulaciones sobre tratamiento de datos personales: I. Cumplir las normas locales sobre Tratamiento de Datos Personales (TDP); II. Efectuar estudios de impacto de privacidad; III. Incorporar la privacidad, la ética y la seguridad desde el diseño y por defecto; IV. Materializar el principio de responsabilidad demostrada (accountability); V. Diseñar esquemas apropiados de gobernanza sobre TDP en las organizaciones que desarrollan productos de IA; VI. Adoptar medidas para garantizar los principios sobre TDP en los proyectos de IA; VII. Respetar los derechos de los titulares de los datos e implementar mecanismos efectivos para el ejercicio de los mismos; VIII. Asegurar la calidad de los datos personales; IX. Utilizar herramientas de anonimización, y X. Incrementar confianza y la transparencia con los titulares de los datos personales.
Finalmente, también se destacó que las actividades de marketing, publicidad y comercio electrónico son lícitas siempre y cuando cumplan las reglas de la regulación sobre tratamiento de datos personales. Durante 2019, la SIC emitió las siguientes dos (2) guías[1] para que sean tenidas en cuenta por parte de quienes efectúan esas labores:
- Guía sobre el tratamiento de datos personales para fines de comercio electrónico.
- Guía sobre el tratamiento de datos personales para fines de marketing y publicidad.
El texto de la Resolución 38281 del 14 de julio de 2020 puede consultarse aquí:
[1] Los textos están disponibles en la sección de publicaciones de la Delegatura para la protección de datos personales.
