Main Menu

Gobernanza de la inteligencia artificial

Gobernanza de la inteligencia artificial

La inteligencia artificial ya no es un “sistema de prueba” aislado: hoy, impacta decisiones comerciales, procesos operativos, experiencia del cliente, contratación, ciberseguridad y reputación. Justo por eso, el verdadero diferenciador entre una organización que captura valor y otra que acumula riesgos suele ser el mismo: la gobernanza de la inteligencia artificial.

En términos simples, gobernanza de IA es el conjunto de políticas, procesos, roles, controles y mecanismos de supervisión que ayudan a que la IA se use de forma legal, ética, segura y alineada con los objetivos del negocio. En PHR Legal entendemos la gobernanza de IA como una estrategia integral que se ajusta a la realidad de cada organización y conecta frentes como privacidad y datos personales, cumplimiento, propiedad intelectual, competencia, laboral, migratorio y ciberseguridad.

¿Qué es gobernanza de IA para los términos legales?

Gobernanza de IA = reglas + responsables + controles + evidencia para que la IA funcione bien y para que, si algo sale mal, la organización tenga cómo prevenir, detectar, responder y demostrar diligencia.

¿Qué busca?

  • Alinear IA con la estrategia.
  • Reducir riesgos legales y reputacionales.
  • Proteger datos y derechos de terceros.
  • Asegurar trazabilidad: quién decidió qué, cuándo y por qué.
  • Elevar confianza interna y externa: clientes, reguladores, aliados.

¿Por qué importa ahora más que nunca?

La IA actual, especialmente la generativa y los modelos de lenguaje, acelera resultados, pero también puede amplificar fallas: sesgos, filtraciones de información, decisiones opacas, incumplimientos de privacidad, conflictos de propiedad intelectual o impactos laborales.

En su enfoque público sobre gobernanza de IA, PHR Legal resalta que adoptar estas tecnologías implica retos legales, regulatorios y éticos en múltiples áreas, y que la gobernanza debe acompañar a la organización desde el diseño del proyecto hasta su implementación y gestión de riesgos.

Además, PHR también ha divulgado indicadores y hallazgos que, en términos generales, refuerzan una idea práctica: la gobernanza no frena la innovación; la hace sostenible.

¿De dónde viene el concepto de gobernanza de la inteligencia artificial?

Históricamente, la discusión de gobernanza aparece cuando las organizaciones pasan de usar tecnología a depender de ella para tomar decisiones críticas. Hoy, la adopción de marcos internacionales (y la conversación regulatoria global) empuja a las empresas a tomarse en serio temas como:

  • Ética y derechos humanos
  • Prevención de daños
  • Transparencia y explicabilidad
  • Control y rendición de cuentas

Principales retos para la gobernanza de la inteligencia artificial en Colombia

En Colombia, el reto es hacer la IA en un escenario donde conviven normas vigentes aplicables, lineamientos sectoriales y una evolución regulatoria en curso. El borrador base lo resume como una combinación de cumplimiento normativo + gestión integral de riesgos + autorregulación, con seguimiento a política pública e iniciativas legislativas.

A continuación, lo aterrizamos con ejemplos y decisiones típicas que enfrentan las organizaciones.

1) Cumplimiento: identificar qué normas te aplican

Un error frecuente es asumir que “como no hay una ley única de IA”, entonces no hay obligaciones. En la práctica, sí existen deberes aplicables por la vía de:

  • protección de datos personales,
  • consumo y publicidad,
  • competencia,
  • propiedad intelectual,
  • sectores regulados (financiero, salud, telecom, etc.),
  • seguridad de la información y ciberseguridad.

Protección de datos + IA: el frente que casi siempre aparece primero

La Superintendencia de Industria y Comercio (SIC) ha emitido lineamientos relevantes sobre tratamiento de datos personales, incluyendo guías específicas sobre IA. Un ejemplo clave es la Circular Externa 2 de 2024, que aborda lineamientos sobre el tratamiento de datos personales en sistemas de inteligencia artificial.

Adicionalmente, la SIC mantiene circulares y normativa asociada a tratamiento de datos para finalidades como publicidad/marketing (por ejemplo, Circular Externa 006 de 2022).

Y también ha emitido instrucciones para contextos como fintech/servicios financieros digitales (por ejemplo, Circular Externa 001 de 2025).

Implicación práctica: si tu IA usa datos personales (para entrenar, perfilar, automatizar decisiones o personalizar ofertas), necesitas gobernanza para asegurar:

  • Base jurídica y finalidades claras
  • Autorizaciones/avisos y transparencia
  • Minimización y retención
  • Seguridad
  • Evaluación de impactos y controles

2) Riesgos: Colombia no tiene una sola metodología

Tu borrador señala un punto realista: Colombia aún no ha definido una metodología única para identificar y mitigar riesgos de IA, aunque existen estándares internacionales que orientan esta labor.

Eso significa que la decisión recae en cada organización: elegir un marco, adaptarlo al negocio y dejar evidencia de cómo se gobierna el riesgo.

Riesgos típicos a gobernar

  • Privacidad y datos: recolección excesiva, finalidades difusas, fuga de datos, reidentificación.
  • Reputación: respuestas erróneas de IA, alucinaciones, discriminación, contenido indebido.
  • Legal/regulatorio: incumplimiento sectorial, publicidad engañosa, decisiones automatizadas sin garantías.
  • Propiedad intelectual: uso de contenidos sin licencia, generación de obras derivadas, conflictos contractuales.
  • Laboral: monitoreo, evaluación y automatización con impacto en trabajadores; cambios de roles sin gestión.
  • Ciberseguridad: prompt injection, extracción de datos, uso de plugins, dependencia de terceros.

3) Política pública y evolución regulatoria

En Colombia, documentos de política pública han marcado la ruta ética y de adopción de IA. El CONPES 4144 formaliza la Política Nacional de IA y plantea líneas de acción y coordinación interinstitucional.

Aunque estos instrumentos no siempre son exigibles directamente a privados, suelen:

  • orientar expectativas del Estado,
  • anticipar tendencias regulatorias,
  • abrir oportunidades de alianzas público–privadas,
  • influir en criterios de contratación, supervisión o auditoría.

¿Cómo implementar un modelo de gobernanza de IA en una empresa?

Aquí es donde la mayoría de organizaciones agradece una hoja de ruta clara. Una gobernanza efectiva no empieza con un documento “bonito”, sino con decisiones concretas: quién responde, qué se permite, qué se prohíbe, qué se monitorea y qué evidencia se conserva.

PHR, desde su enfoque integral, suele estructurar la asesoría considerando etapas de madurez e incluye componentes como diagnóstico/debida diligencia, cumplimiento, autorregulación/capacitación y análisis de impacto normativo.

Paso 1: Inventario real de usos de IA (lo visible y lo invisible)

  • ¿Qué áreas ya usan IA? Marketing, legal, RR. HH., TI, analítica, servicio al cliente.
  • ¿Qué herramientas externas se usan? LLM, copilots, automatización, CRM con IA.
  • ¿Qué datos entran y salen? Personales, sensibles, confidenciales, secretos empresariales.

Paso 2: Clasificación de riesgo (semáforo) y reglas por categoría

Crea una matriz simple:

  • Bajo riesgo: usos internos sin datos personales o con datos anonimizados.
  • Riesgo medio: personalización, analítica con datos personales, apoyo a decisiones humanas.
  • Alto riesgo: decisiones automatizadas con impacto (crédito, empleo, salud), datos sensibles, biometría, perfiles complejos.

Cada nivel debe tener:

  • Requisitos mínimos de aprobación
  • Controles técnicos
  • Controles legales
  • Monitoreo e indicadores

Paso 3: Roles, comité y accountability

Define un responsable por:

  • Negocio (dueño del caso de uso)
  • Datos (privacidad)
  • Seguridad (ciber)
  • Legal/compliance
  • tecnología (arquitectura y proveedores)

Paso 4: Políticas internas

Incluye al menos:

  • Política de uso de IA generativa (qué se puede pegar en prompts, qué no).
  • Política de proveedores (evaluación, DPA, seguridad, subprocesadores, ubicación de datos).
  • Política de gestión de incidentes de IA (filtraciones, outputs dañinos, sesgos).
  • Política de documentación y trazabilidad (versiones de modelos, datasets, evaluaciones).

Esto conecta muy bien con la cultura de “cumplimiento y transparencia” que PHR promueve internamente en su propia gobernanza de IA.

Paso 5: Evidencia y controles continuos

Gobernanza sin evidencia es fe. Conserva:

  • Evaluaciones de impacto
  • Criterios de aprobación
  • Pruebas de sesgo/robustez
  • Bitácoras de cambios
  • Entrenamientos realizados
  • Contratos y anexos de datos

Gobernanza de la inteligencia artificial con PHR Legal

La IA está transformando industrias completas, pero su adopción sostenible depende de la gobernanza. En Colombia, el desafío combina cumplimiento, gestión de riesgos y lectura estratégica de lineamientos y tendencias regulatorias, tal como ya apuntaba el borrador original. Además, la política pública —incluida la Política Nacional de IA formalizada en el CONPES 4144— refuerza la importancia de avanzar con enfoque ético y responsable.

Posse Herrara Ruíz es una firma de abogados con un gran reconocimiento y un equipo multidisciplinario que te ayudará en los procesos legales que requieras. Si requieres asesoría especializada te invitamos a que te comuniques con nuestro equipo en Bogotá al +57 601 325 7300 o en Cra 7 #71-52, Torre A Oficina 504, 110231; en Medellín al +57 604 448 8435 o en Cra 43A #1-50 Torre 2 Oficina 864, 050021; y en Barranquilla al +57 605 311 2140 o en Cra 53 #82-86 Piso 4,

Preguntas frecuentes

¿La gobernanza de la inteligencia artificial es solo para gobiernos?

No. También aplica a empresas y organizaciones porque define cómo se toman decisiones, se gestionan riesgos y se asegura cumplimiento en todo el ciclo de vida de la IA.

¿Qué norma regula la IA en Colombia?

No existe una única ley integral; sin embargo, sí hay obligaciones aplicables por regímenes como protección de datos personales, regulación sectorial y lineamientos de autoridad competente.

¿Por dónde empezar si mi empresa ya está usando IA “sin darse cuenta”?

Por un inventario de usos y herramientas, identificación de datos involucrados y una clasificación de riesgos. Luego, define roles, políticas y controles mínimos antes de escalar.

¿La gobernanza de IA frena la innovación?

Bien diseñada, hace lo contrario: reduce reprocesos, evita bloqueos regulatorios y mejora la confianza para escalar con seguridad. PHR plantea la gobernanza como un acompañamiento desde el diseño hasta la implementación y la gestión proactiva de riesgos.