El ecosistema normativo colombiano relevante para IA
2019
Política Nacional para la Transformación Digital e Inteligencia Artificial vigente
Consejo Nacional de Política Económica y Social · DNPPrimer documento de política pública colombiana que establece lineamientos para la adopción de IA. Define ejes de habilitadores tecnológicos, transformación digital sectorial y gobierno digital. No establece obligaciones legales directas pero orienta la inversión pública y la agenda regulatoria.
ISO 42001 operacionaliza los principios de gobernanza responsable de IA que el CONPES 3975 establece como objetivo estratégico del país.
2020
Ley de Emprendimiento vigente
Congreso de la República de ColombiaAunque principalmente una ley de emprendimiento, incluye disposiciones sobre innovación digital y establece mecanismos de sandbox regulatorio para tecnologías emergentes, incluyendo IA. Permite a empresas probar soluciones de IA en entornos controlados con supervisión regulatoria reducida temporalmente.
ISO 42001 puede ser el marco de gobernanza que una empresa adopte para operar en un sandbox regulatorio, demostrando responsabilidad y controles ante el regulador.
2008 + Ley 2157 / 2021
Habeas Data Financiero — Ley de Habeas Data vigente
Congreso de la República · modificada por Ley 2157 de 2021Regula el tratamiento de datos personales, especialmente en contextos financieros y crediticios. La Ley 2157 de 2021 incorpora el principio de responsabilidad demostrada, exigiendo que las organizaciones demuestren activamente que sus prácticas de datos cumplen la ley. Aplica directamente cuando sistemas de IA procesan datos de personas para decisiones de crédito, cobranza o scoring.
Los controles de calidad y procedencia de datos de ISO 42001 (Anexo A.7) y la evaluación de impacto (Cláusula 6.1.4) son la evidencia de responsabilidad demostrada que la ley exige.
2012
Ley de Protección de Datos Personales (LOPD) vigente
Congreso de la República · Decreto 1377 de 2013Establece los principios y derechos aplicables al tratamiento de datos personales en Colombia. Cuando un sistema de IA procesa datos de personas naturales — lo que ocurre en la mayoría de los casos de uso empresarial — esta ley aplica plenamente. La Superintendencia de Industria y Comercio (SIC) es el ente de control con facultad sancionatoria.
ISO 42001 exige evaluar el impacto del sistema de IA en personas (Cláusula 6.1.4) y gestionar datos con gobernanza clara, alineándose con los principios de finalidad, proporcionalidad y seguridad de la LOPD.
IA Colombia
2021
Marco Ético para la Inteligencia Artificial en Colombia política pública
Ministerio de las TIC (MinTIC) · 2021Define principios éticos para el desarrollo y uso de IA en Colombia: beneficencia, no maleficencia, autonomía, justicia, transparencia, explicabilidad y responsabilidad. No es ley vinculante pero orienta las decisiones del Estado y de las organizaciones que trabajan con entidades públicas.
ISO 42001 es el mecanismo para implementar y demostrar estos principios con procesos auditables. Donde el Marco Ético declara principios, ISO 42001 los operacionaliza.
Minciencias
2024
Hoja de Ruta para el Desarrollo y Aplicación de la IA en Colombia en implementación
Ministerio de Ciencia, Tecnología e Innovación · Febrero 2024Construida con actores públicos y privados, establece la meta de que el 50% de las organizaciones colombianas adopten IA de forma ética y sostenible para 2033. Define focos de innovación: ética y gobernanza, educación e investigación, adopción sectorial. Incluye recomendaciones de sandboxes regulatorios y auditorías éticas de algoritmos corporativos.
Las "auditorías éticas de algoritmos corporativos" que propone la Hoja de Ruta tienen en ISO 42001 + ISO 19011 su estándar metodológico natural.
Alineación entre el marco colombiano e ISO 42001
| Principio / requisito | Marco colombiano | ISO 42001 — dónde lo cubre |
|---|---|---|
| Responsabilidad demostrada | Ley 2157 de 2021, Decreto 1377 de 2013 — principio reconocido legalmente en habeas data | Cláusula 6.1 (evaluación de riesgos), Cláusula 9.1 (monitoreo y medición), Cláusula 9.3 (revisión por la dirección) |
| Transparencia algorítmica | Marco Ético IA MinTIC, Hoja de Ruta Minciencias 2024 — "Transparencia en algoritmos públicos" | Anexo A.8 (Información para partes interesadas), Cláusula 5.2 (Política de IA con principios) |
| Evaluación de impacto en personas | Marco Ético IA — principio de no maleficencia y justicia; Ley 1581 — protección de datos | Cláusula 6.1.4 (Evaluación de impacto del sistema de IA) — requisito normativo explícito |
| Gobernanza IA con roles definidos | CONPES 3975 — objetivo de transformación digital con gobernanza; Marco Ético | Cláusula 5.3 (Roles, responsabilidades y autoridades), Cláusula 4 (Contexto de la organización) |
| Calidad y procedencia de datos | Ley 1581 — principios de finalidad, veracidad, calidad de datos personales | Anexo A.7 (Datos para sistemas de IA): calidad, procedencia, adquisición y preparación |
| Supervisión humana sobre IA | Marco Ético — principio de autonomía y control humano sobre decisiones de IA | Anexo A.6.1.5 (Supervisión de sistemas de IA) — control organizacional específico |
| Auditoría de algoritmos corporativos | Hoja de Ruta Minciencias 2024 — propuesta como innovación prioritaria | Cláusula 9.2 (Auditoría interna del AIMS), aplicable con metodología ISO 19011 |
| Gestión de proveedores de IA | Sin regulación específica aún — vacío normativo | Cláusula 8.4 (Procesos, productos y servicios externos), Anexo A.10 (Proveedores externos) |
La brecha regulatoria que viene: por qué actuar ahora
Colombia aún no tiene una ley de IA con obligaciones formales y sanciones. Pero esa brecha se está cerrando. El "efecto Bruselas" del EU AI Act ya está presionando a proveedores colombianos con clientes europeos. Y la Hoja de Ruta de Minciencias (2024) establece metas concretas de gobernanza para 2033, con mecanismos de evaluación que se construirán en los próximos años.
Las organizaciones que implementen ISO 42001 hoy no solo estarán adelantadas a la regulación — tendrán evidencia documentada, procesos maduros y una ventaja competitiva real cuando sus competidores estén corriendo a cumplir una ley nueva. La gobernanza reactiva siempre es más cara que la gobernanza proactiva.
Preguntas frecuentes
- ¿La SIC (Superintendencia de Industria y Comercio) puede sancionar el uso irresponsable de IA en Colombia?
- Hoy, directamente por el uso de IA, no hay una base legal específica. Pero si ese uso de IA involucra datos personales o prácticas engañosas hacia consumidores, la SIC sí tiene facultades sancionatorias bajo la Ley 1581 y la ley del consumidor. En la medida en que la IA tome decisiones que afecten crédito o servicios financieros, la Superintendencia Financiera también tiene competencia.
- ¿Qué exigen entidades del Estado colombiano a sus proveedores de IA?
- Actualmente no hay una exigencia estandarizada. Sin embargo, el Marco Ético del MinTIC y el CONPES 3975 orientan las compras públicas de tecnología hacia principios de transparencia y responsabilidad. Las entidades que ya adoptaron ISO 27001 como requisito contractual podrían incorporar ISO 42001 del mismo modo en los próximos años, especialmente para sistemas de IA de alto impacto.
- ¿El CONPES 3975 obliga a las empresas privadas a implementar gobernanza de IA?
- No directamente. Un CONPES es un documento de política pública que orienta la acción del Estado, no una ley con obligaciones para el sector privado. Sin embargo, sus lineamientos se materializan progresivamente en regulaciones sectoriales, requisitos contractuales del Estado y estándares de industria. ISO 42001 es la manera de anticiparse a esa materialización con un marco internacionalmente reconocido.
Prepárese para la regulación colombiana de IA — con el estándar internacional que ya existe
Iconoi acompaña a organizaciones colombianas en la implementación de ISO 42001, alineada con el marco normativo local y con la regulación internacional que ya aplica a sus clientes y socios.
Hablar con un especialista Diagnóstico gratuito en 5 min