A fines de julio, en Colombia, se modificó el Código Penal, para incluir la tipificación de la suplantación de identidad, cuando esta es cometida mediante herramientas de Inteligencia Artificial (“IA”). La Ley N°2.502, que modifica y establece una agravante al artículo 296 de la Ley N°599 del año 2000, incrementa la sanción aplicable a quienes cometan el delito de falsedad personal mediante IA, y exige la cooperación entre instituciones para promover la ética digital y laciberseguridad, así como la detección y la respuesta rápida frente a suplantaciones.

Esta reforma ilustra la preocupación existente en la región por proteger los derechos fundamentales de los titulares de sus datos personales en el contexto del desarrollo tecnológico y, particularmente, del avance de los sistemas que utilizan IA. Y es que, si bien facilitan una serie de tareas en distintos ámbitos relevantes, los sistemas IA también presentan una serie de riesgos, tales como la suplantación de identidad a través del uso de deepfakes.

Por ello, es indispensable que la protección de los datos personales sea debidamente reconocida. No sólo por medio de mecanismos legislativos, sino también exigencias institucionales y de coordinación entre el ámbito público y privado, para así detectar y alertar oportunamente aquellos incidentes vinculados al tratamiento de datos personales y sistemas de IA. Adicionalmente, se debe exigir a los responsables del tratamiento de datos personales adoptar medidas de resguardo en el ámbito contractual y operativo, cuestión que –por lo demás– incidirá en su ámbito reputacional.

En Chile, la reciente publicación y próxima entrada en vigor de la Ley N°21.719 que Regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales (“Nueva LPD”), eleva los estándares en materia de derechos y obligaciones relacionados con el tratamiento de datos personales. Por su parte, el proyecto de ley que regula los sistemas de inteligencia artificial (“PdL IA”), busca establecer reglas para el desarrollo y uso responsable de herramientas de IA. En particular, el PdL IA impondría a las organizaciones obligaciones de explicabilidad, evaluaciones de impacto y registro de decisiones automatizadas.

De aprobarse este PdL, una empresa que no pueda acreditar controles razonables para la detección de un deepfake que facilita el fraude o engaño, podría exponerse a riesgos legales, reputacionales y financieros relevantes.

En este contexto, desde la práctica de cumplimiento y privacidad se sugieren ciertas acciones concretas:

1° Identificar los usos de IA en las organizaciones en los, que se traten datos personales, para clasificar su riesgo según la categoría de titular y dato personal;

2° Identificar y subsanar los incumplimientos detectados respecto a las bases legales de tratamiento, especialmente en el caso de datos personales sensibles;

3° Evaluar la implementación de tecnologías de detección de deepfakes y diseñar un registro interno de incidentes con trazabilidad técnica;

4° Revisar y actualizar los contratos con proveedores encargados de tratamiento para exigir garantías técnicas, auditorías periódicas y controles, según corresponda; y,

5° Implementar procedimientos internos para la detección y reacción rápida ante usos inadecuados de la IA.

La experiencia colombiana y su reforma normativa constituye una advertencia y guía útil para la protección de datos personales sensibles. Destaca, particularmente, la necesidad de construir capacidades técnicas y la coordinación entre entidades públicas y privadas, para la adecuada implementación de la regulación y el resguardo de la información. En el caso chileno, por otra parte, la articulación entre la Nueva LDP y el PdL IA debiera orientarse a generar exigencias que puedan ser aplicadas por las empresas, y que las autoridades puedan supervisar y coordinar de manera eficaz, con entidades privadas.