Los Chatbots y la protección de datos

Por: Gabriel Ibarra Pardo

El uso de chatbots, programas que simulan conversaciones humanas mediante IA y procesamiento de lenguaje natural ha adquirido una auge y relevancia inusitada en estos tiempos.

Estas herramientas se han convertido en piezas clave para la atención al cliente en sectores como la banca, las telecomunicaciones y el comercio electrónico.

Colombia no es ajena a esta tendencia y compañías como Bancolombia, Claro y Rappi han integrado chatbots en sus canales digitales.

Sin embargo, la implementación de chatbots plantea interrogantes sobre la transparencia en el uso de datos personales, la posibilidad de decisiones automatizadas sin intervención humana y la responsabilidad frente a errores o sesgos.

En marzo de 2025, la Superintendencia de Industria y Comercio (SIC) emitió el concepto técnico No. 25-86338 que, aunque no constituye una norma vinculante, sí representa un punto de referencia muy importante en la construcción de un marco interpretativo para el uso de sistemas de inteligencia artificial (IA) en Colombia.

El concepto indica que, pese a la ausencia de una ley específica sobre IA, los desarrolladores y operadores de estos sistemas deben cumplir con unos principios fundamentales de protección de datos personales, transparencia y responsabilidad.

En ese sentido, la opinión acoge las Guías de Recomendaciones Generales para el Tratamiento de Datos en la IA de la Red Iberoamericana de Protección de Datos (RIPD) y sigue la Circular Externa de la SIC No. 002 de 2024 que exige que los sistemas de IA deben ser diseñados y operados bajo criterios de idoneidad, necesidad, razonabilidad y proporcionalidad. Además, impone la obligación de realizar evaluaciones de impacto en privacidad cuando se identifiquen riesgos altos para los titulares de los datos.

En caso de duda sobre la producción de un posible daño en los datos personales, se debe evitar su tratamiento o, alternativamente, implementar medidas preventivas robustas. Asimismo, la autoridad exige que quienes gestionan datos personales cumplan con el principio de responsabilidad demostrada, que impone a las empresas la obligación de establecer políticas, procedimientos y estructuras administrativas que aseguren el cumplimiento de la normativa de protección de datos.

Al respecto, la Guía de la RIPD advierte que los sistemas de IA no solo deben proteger la información, sino también garantizar que los usuarios comprendan cómo funciona el sistema, qué datos se están utilizando y con qué fines.

Un aspecto especialmente sensible es la protección de los derechos de menores. La normativa prohíbe expresamente el uso de este tipo de datos en sistemas que puedan generar discriminación o afectar esos derechos. Así, los chatbots que interactúan con esta población deben ser rediseñados con lenguaje, funcionalidades y objetivos seguros.

En consecuencia, aunque Colombia aún no cuenta con una ley específica que regule la IA, esto no significa que el tema esté huérfano. Los principios universales sobre protección de datos son exigibles y deben ser observados rigurosamente por quienes desarrollan y utilizan aplicativos como los chatbots.

El reto para cualquier sociedad que aspire a un aprovechamiento ético de la tecnología, es garantizar que cada solución basada en IA, por sofisticada que sea, respete los derechos, la dignidad y la confianza de quienes la utilizan. Es la única manera de construir un ecosistema digital robusto, seguro y alineado con los valores democráticos y el bienestar colectivo.

Fuente: ASUNTOS:LEGALES