Archivos de la etiqueta: Principio Confidencialidad

18Ene/25

Ley nº 21.719 de 14 de noviembre de 2024

Ley nº 21.719 de 14 de noviembre de 2024. Ley que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales (Diario Oficial de la República de Chile, Viernes 13 de diciembre de 2024)

MINISTERIO SECRETARÍA GENERAL DE LA PRESIDENCIA

LEY NÚM. 21.719

REGULA LA PROTECCIÓN Y EL TRATAMIENTO DE LOS DATOS PERSONALES Y CREA LA AGENCIA DE PROTECCIÓN DE DATOS PERSONALES

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente proyecto de ley que tuvo su origen en Mensaje de Su Excelencia la ex Presidenta de la República, señora Michelle Bachelet Jeria, y en Moción de los Honorables Senadores señores Pedro Araya Guerrero y Alfonso De Urresti Longton, y de los exsenadores señores Felipe Harboe Bascuñán, Alberto Espina Otero y Hernán Larraín Fernández,

Proyecto de ley:

“Artículo primero.- Introdúcense las siguientes modificaciones en la ley N° 19.628, sobre protección de la vida privada:

1) Sustitúyese, en el nombre de la ley, la frase “LA VIDA PRIVADA” por “LOS DATOS PERSONALES”.

2) Reemplázase el artículo 1° por el siguiente:

“Artículo 1°.- Objeto y ámbito de aplicación. La presente ley tiene por objeto regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19, N° 4, de la Constitución Política de la República.

Todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.

El régimen de tratamiento y protección de datos establecido en esta ley no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar reguladas por las leyes a que se refiere el artículo 19, N° 12, de la Constitución Política de la República. Los medios de comunicación social quedarán sujetos a las disposiciones de esta ley en lo relativo al tratamiento de datos que efectúen con una finalidad distinta a la de opinar e informar.

Tampoco serán aplicables las normas de la presente ley al tratamiento de datos que efectúen las personas naturales en relación con sus actividades personales.”.

3) Incorpórase el siguiente artículo 1° bis:

“Artículo 1° bis.- Ámbito de aplicación territorial. Las disposiciones de la presente ley se aplicarán al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:

a) Cuando el responsable o mandatario estén establecidos o constituidos en el territorio nacional.

b) Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en el territorio nacional.

c) Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile, independientemente de si a éstos se les requiere un pago, o a monitorear el comportamiento de titulares que se encuentran en el territorio nacional, incluyendo su análisis, rastreo, perfilamiento o predicción de comportamiento.

La presente ley también se aplicará al tratamiento de datos personales que sea realizado por un responsable al que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.”.

4) Agrégase, en el encabezamiento del artículo 2°, el siguiente epígrafe: “Definiciones.”.

5) Introdúcense las siguientes modificaciones en los literales del artículo 2°:

uno) Reemplázanse los literales a), c), f), g) e i) por los siguientes:

“a) Almacenamiento de datos: la conservación o custodia de datos en un registro o base de datos.

c) Comunicación de datos personales: dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos.

f) Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento.

g) Datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

i) Fuentes de acceso público: todas aquellas bases de datos o conjuntos de datos personales, cuyo acceso o consulta puede ser efectuada en forma lícita por cualquier persona, tales como el Diario Oficial, medios de comunicación o los registros públicos que disponga la ley. El tratamiento de datos personales provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley.”.

dos) Elimínase el literal j), pasando el actual literal k) a ser literal j) y así sucesivamente.

tres) Sustitúyense los actuales literales l), m), n), ñ) y o) por los siguientes literales k), l), m), n), ñ) y o):

“k) Anonimización: procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.

l) Seudonimización: tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.

m) Base de datos personales: conjunto organizado de datos personales, cualquiera sea la finalidad, forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento.

n) Responsable de datos o responsable: toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.

ñ) Titular de datos o titular: persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.

o) Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.”.

cuatro) Agréganse los siguientes literales p), q), r), s), t) y u), nuevos:

“p) Consentimiento: toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.

q) Derecho de acceso: derecho del titular de datos a solicitar y obtener del responsable, confirmación acerca de si sus datos personales están siendo tratados por él, acceder a ellos en su caso, y a la información prevista en esta ley.

r) Derecho de rectificación: derecho del titular de datos a solicitar y obtener del responsable, que modifique o complete sus datos personales, cuando están siendo tratados por él, y sean inexactos, desactualizados o incompletos.

s) Derecho de supresión: derecho del titular de datos a solicitar y obtener del responsable, que suprima o elimine sus datos personales, de acuerdo a las causales previstas en la ley.

t) Derecho de oposición: derecho del titular de datos a solicitar y obtener del responsable, que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la ley.

u) Derecho a la portabilidad de los datos personales: derecho del titular de datos a solicitar y obtener del responsable, una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y poder comunicarlos o transferirlos a otro responsable de datos.

El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.”.

cinco) Incorpóranse los siguientes literales v), w), x), y) y z), nuevos:

“v) Cesión de datos personales: transferencia de datos personales por parte del responsable de datos a otro responsable de datos.

w) Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales que consista en utilizar esos datos para evaluar, analizar o predecir aspectos relativos al rendimiento profesional, situación económica, de salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de una persona natural.

x) Tercero mandatario o encargado: la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.

y) Agencia: la Agencia de Protección de Datos Personales.

z) Registro Nacional de Sanciones y Cumplimiento: es un registro nacional de carácter público administrado por la Agencia, que consigna los modelos certificados de prevención, los responsables de datos que los hayan adoptado y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley.”.

6) Sustitúyese el artículo 3º por el siguiente:

“Artículo 3°.- Principios. El tratamiento de los datos personales se rige por los siguientes principios:

a) Principios de licitud y lealtad. Los datos personales sólo pueden tratarse de manera lícita y leal.

El responsable deberá ser capaz de acreditar la licitud del tratamiento de datos personales que realiza.

b) Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos. El tratamiento de los datos personales debe limitarse al cumplimiento de estos fines. En aplicación de este principio, no se pueden tratar los datos personales con fines distintos a los informados al momento de la recolección, salvo que el tratamiento sea para fines compatibles con los autorizados originalmente; que exista una relación contractual o precontractual entre el titular y el responsable que justifique el tratamiento de los datos con una finalidad distinta, siempre que se enmarque dentro de los fines del contrato o sea coherente con las tratativas o negociaciones previas a la celebración del mismo; que el titular otorgue nuevamente su consentimiento, y cuando lo disponga la ley.

c) Principio de proporcionalidad. Los datos personales que se traten deben limitarse estrictamente a aquéllos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento.

Los datos personales pueden ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser suprimidos o anonimizados, sin perjuicio de las excepciones que establezca la ley. Un período de tiempo mayor requiere autorización legal o consentimiento del titular.

d) Principio de calidad. Los datos personales deben ser exactos, completos, actuales y pertinentes en relación con su proveniencia y los fines del tratamiento.

e) Principio de responsabilidad. Quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios contenidos en este artículo y de las obligaciones y deberes de conformidad a la ley.

f) Principio de seguridad. En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos.

g) Principio de transparencia e información. El responsable debe entregar al titular toda la información que sea necesaria para el ejercicio de los derechos que establece esta ley, incluyendo las políticas y las prácticas sobre el tratamiento de los datos personales, las que además deberán encontrarse permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita.

El responsable debe adoptar las medidas adecuadas y oportunas para facilitar al titular el acceso a toda la información que señala esta ley, así como cualquier otra comunicación relativa al tratamiento que realiza.

h) Principio de confidencialidad. El responsable de datos personales y quienes tengan acceso a ellos deberán guardar secreto o confidencialidad acerca de los mismos. El responsable establecerá controles y medidas adecuadas para preservar el secreto o confidencialidad. Este deber subsiste aún después de concluida la relación con el titular.”.

7) Reemplázase el Título I por el siguiente:

“Título I.- De los derechos del titular de datos personales

Artículo 4º.- Derechos del titular de datos. Toda persona, actuando por sí o a través de su representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales, de conformidad a la presente ley.

Tales derechos son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.

En caso de fallecimiento del titular de datos, los derechos que reconoce esta ley pueden ser ejercidos por sus herederos.

Con todo, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Artículo 5º.- Derecho de acceso. El titular de datos tiene derecho a solicitar y obtener del responsable, confirmación acerca de si los datos personales que le conciernen están siendo tratados por él, y en tal caso, acceder a dichos datos y a la siguiente información:

a) Los datos tratados y su origen.

b) La finalidad o finalidades del tratamiento.

c) Las categorías, clases o tipos de destinatarios, o bien, la identidad de cada destinatario, en caso de solicitarlo así el titular, a los que se les hayan comunicado o cedido los datos o se prevea hacerlo.

d) El período de tiempo durante el cual los datos serán tratados.

e) Los intereses legítimos del responsable, cuando el tratamiento se base en lo dispuesto en el artículo 13, letra d).

f) La información significativa sobre la lógica aplicada en el caso de que el responsable realice tratamiento de datos de conformidad con el artículo 8° bis.

El responsable siempre estará obligado a entregar información y a dar acceso a los datos solicitados excepto cuando una ley disponga expresamente lo contrario.

Artículo 6º.- Derecho de rectificación. El titular de datos tiene derecho a solicitar y obtener del responsable, la rectificación de los datos personales que le conciernen y que están siendo tratados por él, cuando sean inexactos, desactualizados o incompletos.

Los datos rectificados deberán ser comunicados a las personas, entidades u organismos a los cuales el responsable haya comunicado o cedido los referidos datos, salvo en los casos en que dicha comunicación sea imposible o exija un esfuerzo desproporcionado.

Efectuada la rectificación, no se podrán volver a tratar los datos sin rectificar.

Artículo 7°.- Derecho de supresión. El titular de datos tiene derecho a solicitar y obtener del responsable, la eliminación de los datos personales que le conciernen, en los siguientes casos:

a) Cuando los datos no resulten necesarios en relación con los fines del tratamiento para el cual fueron recogidos.

b) Cuando el titular haya revocado su consentimiento para el tratamiento y éste no tenga otro fundamento legal.

c) Cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable.

d) Cuando se trate de datos caducos.

e) Cuando los datos deban suprimirse para el cumplimiento de una sentencia judicial, de una resolución de la autoridad de protección de datos o de una obligación legal.

f) Cuando el titular haya ejercido su derecho de oposición de conformidad al artículo siguiente y no exista otro fundamento legal para su tratamiento.

No procede la supresión cuando el tratamiento sea necesario:

i. Para ejercer el derecho a las libertades de emitir opinión y de informar.

ii. Para el cumplimiento de una obligación legal o la ejecución de un contrato suscrito entre el titular y el responsable.

iii. Para el cumplimiento de una función pública o para el ejercicio de una actividad de interés público.

iv. Por razones de interés público en el área de la salud pública, de conformidad con las condiciones y garantías establecidas en la ley.

v. Para tratamientos con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.

vi. Para la formulación, ejercicio o defensa de una reclamación administrativa o judicial.

Artículo 8°.- Derecho de Oposición. El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos:

a) Cuando la base de licitud del tratamiento sea la satisfacción de intereses legítimos del responsable.

En dicho caso podrá ejercer su derecho de oposición en cualquier momento. El responsable del tratamiento deberá dejar de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.

b) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis.

c) Si el tratamiento se realiza respecto de datos obtenidos de una fuente de acceso público y no existe otro fundamento legal para su tratamiento.

No procederá la oposición al tratamiento cuando éste se realice con fines de investigación científica o histórica o fines estadísticos, y siempre que fueran necesarios para el cumplimiento de una función pública o para el ejercicio de una actividad de interés público.

Artículo 8° bis.- Decisiones individuales automatizadas, incluida la elaboración de perfiles.

El titular de datos tiene derecho a oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente.

El inciso anterior no se aplicará en los siguientes casos:

a) Cuando la decisión sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable.

b) Cuando exista consentimiento previo y expreso del titular en la forma prescrita en el artículo 12.

c) Cuando lo señale la ley, en la medida en que ésta disponga el empleo de salvaguardas a los derechos y libertades del titular.

En todos los casos de decisiones basadas en el tratamiento automatizado de datos personales, inclusive aquéllos señalados en las letras a), b) y c) precedentes, el responsable deberá adoptar las medidas necesarias para asegurar los derechos y libertades del titular, su derecho a la información y transparencia, el derecho a obtener una explicación, a la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión.

Artículo 8° ter.- Derecho de bloqueo del tratamiento. El titular de datos tiene derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición, de conformidad con el artículo 11 de la presente ley, mientras dicha solicitud no se resuelva.

Asimismo, el titular podrá ejercer este derecho alternativamente al de supresión en los casos del artículo 7°.

El ejercicio de este derecho no afectará el almacenamiento de los datos por parte del responsable.

Artículo 9º.- Derecho a la portabilidad de los datos personales. El titular de datos tiene derecho a solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y a comunicarlos o transferirlos a otro responsable de datos, cuando concurran las siguientes circunstancias:

a) El tratamiento se realice en forma automatizada, y

b) El tratamiento esté basado en el consentimiento del titular.

El responsable debe utilizar los medios más expeditos, menos onerosos y sin poner trabas u obstáculos para el ejercicio de este derecho.

El responsable también debe comunicar al titular de manera clara y precisa las medidas necesarias para obtener sus datos personales y especificar las características técnicas para llevar a cabo estas operaciones.

El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Con todo, el ejercicio del derecho de portabilidad no supondrá la supresión de los datos ante el responsable cedente, a menos que el titular de ellos así lo pida conjuntamente en la solicitud.

Artículo 10.- Forma y medios de ejercer los derechos del titular de datos. Los derechos reconocidos en esta ley se ejercen por el titular ante el responsable de datos. Si los datos personales del titular son tratados por diversos responsables, el titular puede ejercer sus derechos ante cualquiera de ellos.

En el caso de las personas jurídicas no constituidas en Chile, el responsable deberá señalar por escrito, ante la Agencia, un correo electrónico o un medio de comunicación electrónico equivalente válido y operativo de una persona natural o jurídica capaz de actuar en su nombre, para los efectos de que el titular pueda ejercer sus derechos y comunicarse con el responsable, y donde se le practiquen válidamente las comunicaciones y notificaciones administrativas que disponga la ley. El responsable deberá mantener actualizada esta información.

Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación.

El ejercicio de los derechos de rectificación, supresión y oposición siempre serán gratuitos para el titular. El derecho de acceso también se ejercerá en forma gratuita, al menos trimestralmente.

El responsable de datos sólo puede exigir el pago de los costos directos en que incurra, cuando el titular ejerza su derecho de acceso y derecho a la portabilidad más de una vez en el trimestre.

El responsable no podrá exigir este pago en los casos del inciso cuarto del artículo 28.

Los parámetros y mecanismos para determinar los costos derivados del ejercicio de los derechos señalados en el inciso anterior serán determinados por la Agencia, a través de una instrucción general que considerará, entre otros antecedentes, el volumen de los datos a ser entregados, la naturaleza jurídica y el tamaño de la entidad o empresa que tenga la calidad de responsable.

La Agencia velará por el efectivo ejercicio y cumplimiento de los derechos que esta ley reconoce al titular de datos, en conformidad a lo dispuesto en esta ley.

Artículo 11.- Procedimiento ante el responsable de datos. Para ejercer los derechos que le reconoce esta ley, el titular deberá presentar una solicitud o requerimiento escrito ante el responsable, dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente. La solicitud deberá contener, a lo menos, las siguientes menciones:

a) Individualización del titular y de su representante legal o mandatario, según corresponda, y autenticación de su identidad de acuerdo con los procedimientos, formas y modalidades que establezca la Agencia.

b) Indicación de un domicilio o una dirección de correo electrónico o de otro medio equivalente para comunicar la respuesta.

c) Identificación de los datos personales o del tratamiento determinado, respecto de los cuales se ejerce el derecho correspondiente.

d) En las solicitudes de rectificación, el titular deberá indicar las modificaciones o actualizaciones precisas a realizar y acompañar, en su caso, los antecedentes que las sustenten.

Cuando se trate de solicitudes de supresión, el titular deberá indicar la causal invocada y acompañar los antecedentes que la sustenten, si correspondiere. Para las solicitudes de oposición, el titular deberá indicar la causal invocada y en el caso de la letra a) del artículo 8°, deberá fundamentar brevemente su petición y podrá, igualmente, acompañar los antecedentes que estime procedentes. En el caso del derecho de acceso, bastará con la individualización del titular.

Recibida la solicitud el responsable deberá acusar recibo de ella y pronunciarse a más tardar dentro de los treinta días corridos siguientes a la fecha de ingreso de la solicitud. Este plazo podrá ser prorrogado, por una sola vez, hasta por treinta días corridos.

El responsable deberá responder por escrito al titular a su domicilio o la dirección de correo electrónico fijada por éste. El responsable debe almacenar los respaldos que le permitan demostrar la remisión de la respuesta a la dirección física o electrónica que corresponda, su fecha y el contenido íntegro de ella.

En caso de denegación total o parcial de la solicitud, el responsable deberá fundar su decisión indicando la causa invocada y los antecedentes que la justifican. En esta misma oportunidad el responsable debe señalar al titular que dispone de un plazo de treinta días hábiles para formular una reclamación ante la Agencia, de acuerdo con el procedimiento establecido en el artículo 41.

Transcurrido el plazo al que hace referencia el inciso segundo anterior, sin que haya respuesta del responsable, el titular podrá formular directamente una reclamación ante la Agencia, en los mismos términos del inciso anterior.

Cuando se formule una solicitud de rectificación, supresión u oposición, el titular tendrá derecho a solicitar y obtener del responsable el bloqueo temporal de sus datos o del tratamiento que realice, según corresponda. La solicitud de bloqueo temporal deberá ser fundada y el responsable deberá responder al requerimiento dentro de los dos días hábiles siguientes a su recepción. En tanto no resuelva esta solicitud, el responsable no podrá tratar los datos del titular que forman parte del requerimiento. El bloqueo temporal de los datos no afectará su almacenamiento por parte del responsable. En caso de rechazo el responsable deberá fundar su respuesta y comunicar en forma electrónica su decisión a la Agencia. El titular podrá reclamar de esta decisión ante la Agencia, aplicándose lo dispuesto en la letra a) del inciso segundo del artículo 41.

La rectificación, supresión u oposición al tratamiento de los datos se aplicará sólo respecto de los responsables a quienes se les haya formulado la solicitud. Con todo, cuando el responsable haya comunicado dichos datos a otras personas, deberá comunicar a éstas los cambios realizados en virtud de la rectificación, supresión u oposición.

El titular podrá aportar cualquier otro antecedente que facilite la localización de los datos personales.”.

8) Reemplázase el Título II por el siguiente:

“Título II.- Del tratamiento de los datos personales y de las categorías especiales de datos

Párrafo Primero.- Del consentimiento del titular, de las obligaciones y deberes del responsable y del tratamiento de datos en general

Artículo 12.- Regla general del tratamiento de datos. Es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.

El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.

Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.

El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá efectos retroactivos.

Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.

Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.

Con todo, lo dispuesto en el inciso anterior no se aplicará cuando quien ofrezca bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.

Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento de datos fue realizado en forma lícita, leal y transparente.

Artículo 13.- Otras fuentes de licitud del tratamiento de datos. Es lícito el tratamiento de datos personales, sin el consentimiento del titular, en los siguientes casos:

a) Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley, incluidos los datos referidos a la situación socioeconómica del titular.

b) Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.

c) Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

d) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y el interés legítimo en base al cual se efectúa dicho tratamiento.

e) Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

El responsable deberá acreditar la licitud del tratamiento de datos.

Artículo 14.- Obligaciones del responsable de datos. El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones:

a) Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida.

b) Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.

c) Comunicar o ceder, en conformidad a las disposiciones de esta ley, información exacta, completa y actual.

d) Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales.

e) Cumplir con los demás deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.

El responsable de datos que no tenga domicilio en Chile y que realice tratamiento de datos de personas que residan en el territorio nacional, deberá señalar y mantener actualizado y operativo, un correo electrónico u otro medio de contacto idóneo para recibir comunicaciones de los titulares de datos y de la Agencia.

Artículo 14 bis.- Deber de secreto o confidencialidad. El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. En caso de que el responsable haya realizado alguna acción sobre datos personales obtenidos de fuentes de acceso público, tales como organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con otros datos, los datos personales que resulten de dicha acción se encontrarán protegidos bajo el presente deber de secreto o confidencialidad.

El deber de secreto o confidencialidad no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en conformidad a la ley, y al cumplimiento de la obligación de dar acceso al titular e informar el origen de los datos, cuando esta información le sea requerida por el titular o por un órgano público dentro del ámbito de sus competencias legales.

El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo.

Quedan sujetas a la obligación de confidencialidad las personas e instituciones y sus dependientes a que se refiere el artículo 24, en cuanto al requerimiento y al hecho de haber remitido dicha información.

Artículo 14 ter.- Deber de información y transparencia. El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:

a) La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma.

b) La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere.

c) El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes que realicen los titulares.

d) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.

e) La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra.

f) El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley.

g) El derecho que le asiste al titular de recurrir ante la Agencia, en caso de que el responsable rechace o no responda oportunamente las solicitudes que le formule.

h) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.

i) El periodo durante el que se conservarán los datos personales.

j) La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.

k) Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.

Artículo 14 quáter.- Deber de protección desde el diseño y por defecto. Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad.

Asimismo, el responsable de datos deberá aplicar medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad. Para ello, se tendrá en consideración el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad.

Artículo 14 quinquies.- Deber de adoptar medidas de seguridad. El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.

En consideración al estado de la técnica, los costos de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Ante la ocurrencia de un incidente de seguridad, y en caso de controversia judicial o administrativa, corresponderá al responsable acreditar la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible.

Artículo 14 sexies.- Deber de reportar las vulneraciones a las medidas de seguridad. El responsable deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.

El responsable deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.

Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también efectuar esta comunicación a los titulares de estos datos, a través de sus representantes, cuando corresponda. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.

Los deberes de información señalados en este artículo no obstan a los demás deberes de información que establezcan otras leyes.

Artículo 14 septies.- Diferenciación de estándares de cumplimiento. Los estándares o condiciones mínimas que se impongan al responsable de datos para el cumplimiento de los deberes de información y de seguridad establecidos en los artículos 14 ter y 14 quinquies, respectivamente, serán determinados considerando el tipo de dato del que se trata, si el responsable es una persona natural o jurídica, el tamaño de la entidad o empresa de acuerdo a las categorías establecidas en el artículo segundo de la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño, la actividad que desarrolla y el volumen, naturaleza y las finalidades de los datos personales que trata.

Los estándares o condiciones mínimas de cumplimiento y las medidas diferenciadas a que alude el inciso anterior, serán determinados por la Agencia mediante instrucción general.

Artículo 15.- Cesión de datos personales. Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario, en los términos previstos en la letra d) del artículo 13, y cuando lo disponga la ley.

En caso de que el consentimiento otorgado por el titular al momento de realizarse la recolección de los datos personales no haya considerado la cesión de los mismos, éste debe recabarse antes que se produzca, considerándose para todos los efectos legales como una nueva operación de tratamiento.

La cesión de datos deberá constar por escrito o a través de cualquier medio electrónico idóneo.

En ella se deberá individualizar a las partes, los datos que son objeto de la cesión, las finalidades previstas para el tratamiento y los demás antecedentes o estipulaciones que acuerden el cedente y el cesionario.

El tratamiento de los datos personales cedidos deberá realizarse por el cesionario de conformidad a las finalidades establecidas en el contrato de cesión.

Una vez perfeccionada la cesión, el cesionario adquiere la condición de responsable de datos para todos los efectos legales. El cedente, por su parte, también mantiene la calidad de responsable de datos, respecto de las operaciones de tratamiento que continúe realizando.

Si se verifica una cesión de datos sin contar con el consentimiento del titular, siendo éste necesario, la cesión será nula, debiendo el cesionario suprimir todos los datos recibidos, sin perjuicio de las responsabilidades legales que correspondan.

Artículo 15 bis.- Tratamiento de datos a través de un tercero mandatario o encargado. El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.

Si el tercero mandatario o encargado trata los datos con un objeto distinto del encargo convenido o los cede o entrega sin haber sido autorizado en los términos dispuestos en el inciso anterior, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y solidariamente con el responsable de datos por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.

El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes. El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable.

El encargado que delegue a otro encargado parte o la totalidad del encargo, continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento. La Agencia pondrá a disposición del público modelos tipo de contratos en su página web.

El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis y 14 quinquies. La diferenciación de estándares de cumplimiento establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho al responsable.

Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.

Artículo 15 ter.- Evaluación de impacto en protección de datos personales. Cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales.

La evaluación de impacto se requerirá siempre en casos de:

a) Evaluación sistemática y exhaustiva de aspectos personales de los titulares de datos, basadas en tratamiento o decisiones automatizadas, como la elaboración de perfiles, y que produzcan en ellos efectos jurídicos significativos.

b) Tratamiento masivo de datos o a gran escala.

c) Tratamiento que implique observación o monitoreo sistemático de una zona de acceso público.

d) Tratamiento de datos sensibles y especialmente protegidos, en las hipótesis de excepción del consentimiento.

La Agencia de Protección de Datos Personales establecerá y publicará una lista orientativa de los tipos de operaciones de tratamiento que requieran o no una evaluación de impacto relativa a la protección de datos personales. La Agencia también establecerá las orientaciones mínimas para realizar esta evaluación, considerando a lo menos en dichos criterios, la descripción de las operaciones de tratamiento, su finalidad, la evaluación de la necesidad y la proporcionalidad con respecto a su finalidad, la evaluación de los riesgos y medidas de mitigación.

Los responsables podrán consultar a la Agencia de Protección de Datos Personales, cuando en virtud del resultado de la evaluación, el tratamiento demuestre ser de alto riesgo a efectos de obtener recomendaciones de parte de dicha entidad.

Párrafo Segundo.- Del tratamiento de los datos personales sensibles

Artículo 16.- Regla general para el tratamiento de datos personales sensibles. El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

Sin perjuicio de lo anterior, es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:

a) Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.

b) Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan las siguientes condiciones:

i. Su finalidad sea política, filosófica, religiosa, cultural, sindical o gremial;

ii. El tratamiento que realice se refiera exclusivamente a sus miembros o afiliados;

iii. El tratamiento de datos tenga por objeto cumplir las finalidades específicas de la institución;

iv. La persona jurídica otorgue las garantías necesarias para evitar filtraciones, sustracciones o un uso o tratamiento no autorizado de los datos, y

v. Los datos personales no se comuniquen o cedan a terceros.

Cumpliéndose estas condiciones, la persona jurídica no requerirá el consentimiento del titular para tratar sus datos, incluidos los datos personales sensibles. En caso de duda o controversia administrativa o judicial, el responsable de datos deberá acreditar su concurrencia.

Cuando un integrante de la persona jurídica deje de pertenecer a ella, sus datos deberán ser anonimizados o suprimidos.

c) Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.

d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.

e) Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.

f) Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.

Las excepciones para tratar datos sin consentimiento, mencionadas en este artículo, se entienden aplicables al tratamiento de datos que no revisten el carácter de datos sensibles.

Artículo 16 bis.- Datos personales sensibles relativos a la salud y al perfil biológico humano.

Si se cumple lo dispuesto en el inciso primero del artículo 16, los datos personales relativos a la salud del titular, así como aquéllos relativos al perfil biológico del titular, tales como los datos genéticos, proteómicos o metabólicos, sólo podrán ser tratados para los fines previstos por las leyes especiales en materia sanitaria.

Sólo se podrán tratar los datos personales sensibles relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento, respetando los principios y reglas establecidos en la presente ley, en los siguientes casos:

a) Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.

b) En casos de alerta sanitaria legalmente decretada.

c) Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera.

Los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico pueden ser publicados o difundidos libremente. Para ello deberán previamente anonimizarse los datos que se publiquen.

d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o ante un órgano administrativo.

e) Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.

f) Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.

Se prohíbe el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y que se refiera a alguno de los casos mencionados en este artículo.

Las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este precepto.

Artículo 16 ter.- Datos personales biométricos. Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.

Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:

a) La identificación del sistema biométrico usado;

b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;

c) El período durante el cual los datos biométricos serán utilizados, y

d) La forma en que el titular puede ejercer sus derechos.

Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis.

Párrafo Tercero.- Del tratamiento de categorías especiales de datos personales

Artículo 16 quáter.- Datos personales relativos a los niños, niñas y adolescentes. El tratamiento de los datos personales que conciernen a los niños, niñas y adolescentes, sólo puede realizarse atendiendo al interés superior de éstos y al respeto de su autonomía progresiva.

Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.

Los datos personales de los adolescentes se podrán tratar de acuerdo a las normas de autorización previstas en esta ley para los adultos, salvo lo dispuesto en el inciso siguiente.

Los datos personales sensibles de los adolescentes menores de dieciséis años sólo se podrán tratar con el consentimiento otorgado por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.

Para los efectos de esta ley, se consideran niños o niñas a los menores de catorce años, y adolescentes, a los mayores de catorce y menores de dieciocho años.

Constituye una obligación especial de los establecimientos educacionales y de todas las personas o entidades públicas o privadas que traten o administren datos personales de niños, niñas y adolescentes, incluidos quienes ejercen su cuidado personal, velar por el uso lícito y la protección de la información personal que concierne a los niños, niñas y adolescentes.

Artículo 16 quinquies.- Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones. Se entiende que existe un interés legítimo en el tratamiento de datos personales que realicen las personas naturales o jurídicas, públicas o privadas, incluidos los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones, todos los cuales deben atender fines de interés público.

Los responsables de datos deberán adoptar y acreditar que han cumplido con todas las medidas de calidad y seguridad necesarias para resguardar que los datos se utilicen exclusivamente para tales fines. En el caso de los datos personales sensibles, el responsable debe identificar los riesgos posibles e implementar las medidas tendientes a su reducción o mitigación. Cumplidas estas condiciones, el responsable podrá almacenar y utilizar los datos por un período indeterminado de tiempo.

Los responsables que hayan tratado datos personales exclusivamente con estas finalidades podrán efectuar publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las medidas necesarias para anonimizar los datos que se publiquen.

Artículo 16 sexies.- Datos de geolocalización. El tratamiento de los datos personales de geolocalización del titular se podrá realizar bajo las mismas fuentes de licitud establecidas en los artículos 12 y 13.

El titular de datos deberá ser informado de manera clara, suficiente y oportuna, del tipo de datos de geolocalización que serán tratados, de la finalidad y duración del tratamiento y si los datos se comunicarán o cederán a un tercero para la prestación de un servicio con valor añadido.”.

9) En el artículo 17:

a) Reemplázase la frase “bancos de datos” por la expresión “bases de datos”, todas las veces que aparece en su texto.

b) En el inciso primero:

i. Agrégase, en su encabezamiento, el siguiente epígrafe:

“Regla general del tratamiento de datos relativos a obligaciones de carácter financiero, bancario o comercial.”.

ii. Intercálase, entre el artículo “el” y la palabra “incumplimiento”, la expresión “cumplimiento o”.

c) Incorpórase el siguiente inciso octavo, pasando el actual a ser inciso noveno:

“Los responsables deberán suprimir de sus registros o bases de datos, toda aquella información personal relativa a obligaciones prescritas, sin necesidad de mediar solicitud, orden judicial, ni instrucción de la autoridad de protección de datos.”.

10) Agrégase el siguiente epígrafe, nuevo, en el inciso primero del artículo 18: “Limitación del tratamiento de datos para obligaciones financieras, bancarias o comerciales.”.

11) En el artículo 19:

a) En el inciso primero:

i. Agrégase el siguiente epígrafe, nuevo: “Efectos de la extinción de la obligación económica, bancaria o comercial.”.

ii. Reemplázase la referencia al “artículo 12” por otra al “artículo 4°”.

b) Reemplázanse, en el inciso segundo, la frase “o banco de datos”, por la expresión “o base de datos”, y la frase “al banco de datos” por “a la base de datos”.

c) Sustitúyese, en el inciso final, la frase “de acuerdo a lo previsto en el artículo 16”, por la siguiente: “de conformidad a lo dispuesto en el Título VII de esta ley”.

12) Reemplázase el Título IV por el siguiente:

“Título IV.- Del tratamiento de datos personales por los órganos públicos

Artículo 20.- Regla general del tratamiento de datos por órganos públicos. Es lícito el tratamiento de los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias, de conformidad a las normas establecidas en la ley, y a las disposiciones previstas en este Título. En esas condiciones, los órganos públicos actúan como responsables de datos y no requieren el consentimiento del titular para tratar sus datos personales.

Artículo 21.- Principios y normas aplicables al tratamiento de datos de los órganos públicos.

El tratamiento de los datos personales que realicen los órganos públicos se rige por los principios establecidos en el artículo 3° de esta ley y los principios generales que rigen la Administración del Estado, especialmente los principios de coordinación, probidad y eficiencia.

En virtud del principio de coordinación los organismos públicos deben alcanzar un alto grado de interoperabilidad y coherencia, de modo de evitar contradicciones en la información almacenada y reiteración de requerimientos de información o documentos a los titulares de datos. Conforme al principio de eficiencia se debe evitar la duplicación de procedimientos y trámites entre los organismos públicos y entre éstos y los titulares de la información.

Sin perjuicio de las demás normas establecidas en el presente Título, son aplicables al tratamiento de datos que efectúen los órganos públicos, las disposiciones establecidas en los artículos 2°, 14, 14 bis, 14 ter, 14 quáter, 14 quinquies, 14 sexies y 15 bis, los artículos de los Párrafos Segundo y Tercero del Título II y los artículos del Título V y del Título VII de esta ley.

Asimismo, le son aplicables los artículos 4°, 5°, 6°, 7° y 8°, en conformidad a lo dispuesto en el artículo 23.

Artículo 22.- Comunicación o cesión de datos por un órgano público. Los órganos públicos están facultados para comunicar o ceder datos personales específicos, o todo o parte de sus bases de datos o conjuntos de datos, a otros órganos públicos, siempre que la comunicación o cesión de los datos resulte necesaria para el cumplimiento de sus funciones legales y ambos órganos actúen dentro del ámbito de sus competencias. La comunicación o cesión de los datos se debe realizar para un tratamiento específico y el órgano público receptor no los podrá utilizar para otros fines.

Asimismo, se podrá comunicar o ceder datos o bases de datos personales entre organismos públicos, exclusivamente cuando ellos se requieran para un tratamiento que tenga por finalidad otorgar beneficios al titular, evitar duplicidad de trámites para los ciudadanos o reiteración de requerimientos de información o documentos para los mismos titulares.

El órgano público receptor de los datos sólo puede conservarlos por el tiempo necesario para efectuar el tratamiento específico para el cual fueron requeridos, luego de lo cual deberán ser suprimidos o anonimizados. Estos datos se podrán almacenar por un tiempo mayor cuando el órgano público requiera atender reclamaciones o impugnaciones, realizar actividades de control o seguimiento, o sirvan para dar garantía de las decisiones adoptadas.

Para los efectos de poder comunicar o ceder datos personales a personas o entidades privadas, los organismos públicos deberán contar con el consentimiento del titular, salvo que la comunicación o cesión de datos sea necesaria para cumplir las funciones del organismo público en materia de fiscalización o inspección.

Cuando se trate de comunicar o ceder datos personales en virtud de una solicitud de acceso a la información formulada con arreglo a lo establecido en el artículo 10 de la ley N° 20.285, los organismos públicos deberán contar con el consentimiento del titular obtenido en la oportunidad prevista en el artículo 20 de dicha ley.

Respecto de la comunicación de los datos relativos a infracciones penales, civiles, administrativas y disciplinarias, se aplicará lo dispuesto en el artículo 25.

Los organismos públicos deberán informar mensualmente a través de su página web institucional los convenios suscritos con otros organismos públicos y con entidades privadas relativos a cesión o transferencia de datos personales. Esta obligación será fiscalizada por la Agencia.

Artículo 23.- Ejercicio de los derechos del titular, procedimiento administrativo de tutela y reclamo de ilegalidad. El titular de datos podrá ejercer ante el órgano público los derechos de acceso, rectificación y oposición que le reconoce esta ley. El titular también podrá oponerse a un tratamiento específico cuando éste sea contrario a las disposiciones de este Título. El titular podrá ejercer el derecho de supresión en los casos previstos en el inciso tercero del artículo anterior.

Los organismos públicos no acogerán las solicitudes de acceso, rectificación, oposición, supresión o bloqueo temporal de los datos personales en los siguientes casos:

a) Cuando con ello se impida o entorpezca el cumplimiento de las funciones fiscalizadoras, investigativas, de protección a víctimas y testigos o sancionatorias del organismo público, y

b) Cuando con ello se afecte el carácter secreto de la información establecido por la ley.

El ejercicio de los derechos del titular se deberá realizar de acuerdo al procedimiento establecido en el artículo 11 de esta ley, dirigiéndose al jefe superior del servicio.

El titular podrá reclamar ante la Agencia cuando el organismo público le haya denegado, en forma expresa o tácita, una solicitud en que ejerce cualquiera de los derechos que le reconoce esta ley. La reclamación se sujetará a las normas previstas en el procedimiento administrativo de tutela de derechos establecido en el artículo 41.

Artículo 24.- Regímenes especiales. El tratamiento, comunicación o cesión de datos personales sensibles, realizado por órganos públicos competentes en las materias que a continuación se indican, estarán sujetos exclusivamente al régimen de regulación especial establecido en este artículo:

a) Aquellos que se realicen con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública, protección a víctimas y testigos, análisis criminal y reportabilidad de la información criminal. Respecto de los datos que se realicen con esta finalidad, no será aplicable lo dispuesto en el artículo 25.

b) Aquellos en materias relacionadas directamente con la seguridad de la Nación, la defensa nacional y la política exterior del país.

c) Aquellos realizados con el objeto exclusivo de atender una situación de emergencia o catástrofe, declarada de conformidad a la ley y sólo mientras permanezca vigente esta declaración.

d) Aquellos que se encuentren protegidos por normas de secreto, reserva o confidencialidad, establecidas en sus respectivas leyes. Dentro de esta excepción se entienden también comprendidos los datos que, en cumplimiento de una obligación legal, los órganos públicos deban ceder a otro órgano público o a terceros, debiendo en tal caso el receptor tratarlos manteniendo la misma obligación de secreto, reserva o confidencialidad.

Los órganos públicos correspondientes podrán tratar, ceder y comunicar datos personales de forma lícita, siempre y cuando se realice para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y respetando las garantías fundamentales establecidas en el artículo 19, N° 4, de la Constitución Política de la República y los principios establecidos en el artículo 3°.

Con el objeto de realizar los tratamientos, cesiones y comunicaciones de datos para la finalidad prevista en las letras a), b) y c) anteriores, los órganos públicos y sus autoridades estarán obligadas a intercambiar información y proporcionar los datos personales que les sean requeridos para estos fines, siempre que se refieran a tratamientos que se realicen con una finalidad específica autorizada por ley o, cuando esto no sea posible, el requerimiento sea una medida necesaria y proporcional.

La Agencia de Protección de Datos Personales podrá, oyendo previamente a los órganos competentes, dictar instrucciones para especificar la forma de aplicar las referidas garantías y principios a los casos mencionados, de manera de asegurar su resguardo y permitir el debido cumplimiento de las funciones legales de los órganos correspondientes.

Artículo 25.- Datos relativos a infracciones penales, civiles, administrativas y disciplinarias.

Los datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias sólo pueden ser tratados por los organismos públicos para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y en los casos expresamente previstos en la ley.

En las comunicaciones que realicen los organismos públicos, con ocasión del tratamiento de estos datos personales, deberán velar en todo momento por que la información comunicada o hecha pública sea exacta, suficiente, actual y completa.

No podrán comunicarse o hacerse públicos los datos personales relativos a la comisión y condena de infracciones penales, civiles, administrativas o disciplinarias, una vez prescrita la acción penal, civil, administrativa o disciplinaria respectiva, o una vez que se haya cumplido o prescrito la pena o la sanción impuesta, lo que deberá ser declarado o constatado por la autoridad pública competente.

Lo anterior es sin perjuicio de la incorporación, mantenimiento y consulta de esta información en los registros que llevan los órganos públicos por expresa disposición de la ley, en la forma y por el tiempo previsto en la ley que establece la obligación específica correspondiente. Las personas que se desempeñen en los órganos públicos están obligadas a guardar secreto respecto de esta información, la que deberá ser mantenida como información reservada.

Cuando la ley disponga que la información relativa a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias deba hacerse pública a través de su incorporación en un registro de sanciones, o su publicación en el sitio web de un órgano público o en cualquier otro medio de comunicación o difusión, sin fijar un período de tiempo durante el cual deba permanecer disponible esta información, se seguirán las siguientes reglas:

a) Respecto de las infracciones penales, los plazos de publicidad se regirán por las normas particulares que rigen para este tipo de infracciones.

b) Respecto de las infracciones civiles, administrativas y disciplinarias, permanecerán accesibles al público por el período de cinco años.

Se prohíbe el tratamiento masivo de los datos personales contenidos en los registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias que lleven los organismos públicos.

El incumplimiento de esta prohibición constituye una infracción gravísima de conformidad a esta ley.

Exceptúanse de la prohibición de comunicación los casos en que la información sea solicitada por los tribunales de justicia u otro organismo público para el cumplimiento de sus funciones legales y dentro del ámbito de su competencia, quienes deberán mantener la debida reserva.

No obstante lo dispuesto en el inciso tercero del presente artículo, los datos personales relativos a la comisión y sanción de infracciones penales revisten carácter reservado y, salvo las disposiciones legales que autorizan su tratamiento, no podrán ser comunicados o cedidos a terceras personas por los organismos públicos que los posean.

Artículo 26.- Reglamento. Las condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados, se regularán a través de un reglamento expedido por el Ministerio Secretaría General de la Presidencia y suscrito por el Ministro de Hacienda y por el Ministro de Economía, Fomento y Turismo, previo informe de la Agencia. En este mismo reglamento se regularán los procedimientos de anonimización de los datos personales, especialmente los datos personales sensibles.

Con todo, este reglamento no será aplicable a aquellas cesiones en las que tenga participación alguno de los órganos a los que se refiere el Título VIII de esta ley.”.

13) Reemplázase el Título V por el siguiente:

“Título V.- De la transferencia internacional de datos personales

Artículo 27.- Regla general de autorización. Cumpliéndose los requisitos que, de conformidad a esta ley, autorizan al tratamiento de datos, son lícitas las operaciones de transferencia internacional de datos en cualquiera de los siguientes casos:

a) Cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales, de conformidad a lo dispuesto en el artículo 28.

b) Cuando la transferencia de datos quede amparada por cláusulas contractuales, normas corporativas vinculantes, u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, y en ellas se establezcan garantías adecuadas, de conformidad a lo dispuesto en el artículo 28.

c) Cuando el responsable que efectúa la transferencia y el responsable o tercero mandatario que la recibe, adopten un modelo de cumplimiento o mecanismo de certificación y en ellos se establezcan garantías adecuadas, de conformidad con el artículo 28.

En ausencia de una decisión de adecuación o de garantías adecuadas, se podrá realizar una transferencia específica y que no sea habitual, si se cumple alguno de los siguientes supuestos:

a) Cuando exista consentimiento expreso del titular de datos para realizar una transferencia internacional de datos específica y determinada.

b) Cuando se refiera a transferencias bancarias, financieras o bursátiles específicas y que se realicen conforme a las leyes que regulan estas transferencias.

c) Cuando se deban transferir datos para dar cumplimiento a obligaciones adquiridas en tratados o convenios internacionales que hayan sido ratificados por el Estado chileno y se encuentren vigentes.

d) Cuando la transferencia resulte necesaria por aplicación de convenios de cooperación, intercambio de información o supervisión que hayan sido suscritos por órganos públicos para el cumplimiento de sus funciones y en el ejercicio de sus competencias.

e) Cuando la transferencia de datos realizada por una persona natural o jurídica, pública o privada, haya sido autorizada expresamente por la ley y para una finalidad determinada.

f) Cuando la transferencia sea efectuada con el objeto de prestar o solicitar colaboración judicial internacional.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

h) Cuando sea necesario adoptar medidas urgentes en materia médica o sanitaria, para la prevención o diagnóstico de enfermedades, para tratamientos médicos o para la gestión de servicios sanitarios o de salud.

Artículo 28.- Regla de determinación de países adecuados y demás normas aplicables a la

transferencia internacional de datos. Se entiende que el ordenamiento jurídico de un país posee niveles adecuados de protección de datos, cuando cumple con estándares similares o superiores a los fijados en esta ley. La Agencia determinará fundadamente los países que poseen niveles adecuados de protección de datos considerando, a lo menos, los siguientes:

a) El establecimiento de principios que rigen el tratamiento de los datos personales.

b) La existencia de normas que reconozcan y garanticen los derechos de los titulares de datos y la existencia de una autoridad pública jurisdiccional o administrativa de control o tutela.

c) La imposición de obligaciones de información y seguridad a los responsables del tratamiento de los datos y terceros mandatarios.

d) La determinación de responsabilidades en caso de infracciones.

Se considerarán garantías adecuadas aquellos instrumentos, mecanismos, cláusulas que contengan similares o mayores principios, derechos y garantías a aquellas que ofrece la presente ley, y en particular, que otorguen derechos exigibles y acciones legales efectivas a los titulares de los datos. La Agencia podrá aprobar cláusulas modelo y otros instrumentos jurídicos, sólo si contienen dichas garantías para el flujo transfronterizo de datos, las que estarán a disposición de los responsables. Las cláusulas modelo y otros instrumentos jurídicos que establezcan garantías adecuadas aprobados por la Agencia,no requerirán ninguna otra garantía adicional ni autorización.

La Agencia pondrá en su página web a disposición de los interesados un listado de países adecuados y modelos tipo de cláusulas contractuales y otros instrumentos jurídicos para la transferencia internacional de datos.

Cuando la transferencia se efectúe entre sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales, las transferencias podrán quedar amparadas en normas corporativas vinculantes previamente aprobadas por la Agencia. El responsable que efectúe la transferencia de datos asumirá la responsabilidad por cualquier infracción a los estándares y políticas corporativas vinculantes en que incurra algunos de los miembros del grupo empresarial. El responsable sólo podrá exonerarse de esta responsabilidad cuando acredite que la infracción no fue imputable al miembro del grupo empresarial correspondiente.

Cuando no se verifique ninguna de las circunstancias señaladas en el artículo anterior, la Agencia podrá autorizar, mediante resolución fundada, la transferencia internacional de datos para un caso particular, siempre que el transmisor y el receptor de los datos otorguen las garantías adecuadas en relación con la protección de los derechos de las personas que son titulares de estos datos y la seguridad de la información transferida, de conformidad con la presente ley.

Corresponderá al responsable de datos que efectuó la transferencia internacional de datos, acreditar ante la Agencia que ésta se practicó de conformidad a las reglas establecidas en esta ley.

Artículo 29.- Fiscalización. La Agencia fiscalizará las operaciones de transferencia internacional de datos, pudiendo formular recomendaciones, adoptar medidas conservativas y en casos calificados, suspender temporalmente el envío de los datos.”.

14) Intercálanse los siguientes Títulos VI, VII y VIII, nuevos:

“Título VI.- Autoridad de Control en materia de Protección de Datos Personales

Artículo 30.- Agencia de Protección de Datos Personales. Créase la Agencia de Protección de Datos Personales, corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo.

La Agencia tendrá por objeto velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, de conformidad a lo establecido en la presente ley, y fiscalizar el cumplimiento de sus disposiciones.

El domicilio de la Agencia será fijado en el reglamento, sin perjuicio de los domicilios que pueda establecer en otros puntos del país.

Artículo 30 bis.- Funciones y atribuciones de la Agencia. La Agencia tendrá las siguientes funciones y atribuciones:

a) Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de tratamiento de datos personales conforme a los principios establecidos en esta ley. Las instrucciones y normas generales que dicte la Agencia deberán ser emitidas previa consulta pública efectuada a través de la página web institucional y deberán estar relacionadas estrictamente con la regulación de tratamiento de datos personales y que sea necesaria para el fiel cumplimiento de la presente ley, disponiéndose los mecanismos necesarios para que los interesados puedan formular observaciones a ésta.

b) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección de los datos personales y las instrucciones y normas generales que dicte la Agencia.

c) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales.

Para ello, podrá requerir a quienes realicen tratamiento de datos personales la entrega de cualquier documento, libro o antecedente y toda la información que fuere necesaria para el cumplimiento de su función fiscalizadora.

d) Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos personales, en sus operaciones de tratamiento de datos, respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones y normas generales que emita la Agencia.

Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, al titular, a los representantes legales, administradores, asesores y dependientes de quien trate datos personales, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver un procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones respectivas por otros medios que aseguren su fidelidad.

e) Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con infracción a esta ley, sus reglamentos y a instrucciones y normas generales dictadas por la Agencia, aplicando las sanciones establecidas en la presente ley.

f) Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos personales con infracción a esta ley, sus reglamentos o las instrucciones y normas generales dictadas por la Agencia.

g) Desarrollar programas, proyectos y acciones de difusión, promoción e información a la ciudadanía, en relación al respeto a la protección de sus datos personales.

h) Proponer al Presidente de la República y al Congreso Nacional, en su caso, las normas legales y reglamentarias para asegurar a las personas la debida protección de sus datos personales y perfeccionar la regulación sobre el tratamiento y uso de esta información.

i) Prestar asistencia técnica, cuando le sea requerida, al Congreso Nacional, al Poder Judicial,

a la Contraloría General de la República, al Ministerio Público, al Tribunal Constitucional, al Banco Central, al Servicio Electoral, a la Justicia Electoral y los demás tribunales especiales creados por ley, en la dictación y ejecución de las políticas y normas internas de estos organismos, con el objeto que sus operaciones y actividades de tratamiento de datos personales se realicen conforme a los principios y obligaciones establecidos en esta ley.

j) Relacionarse y colaborar con los órganos públicos en el diseño e implementación de políticas y acciones destinadas a velar por la protección de los datos personales y su correcto tratamiento.

k) Suscribir convenios de cooperación y colaboración con entidades públicas o privadas, nacionales, extranjeras o internacionales, que tengan competencia o estén relacionadas al ámbito de los datos personales. En los casos de suscribir convenios con entidades públicas internacionales se requerirá consultar previamente al Ministerio de Relaciones Exteriores, de conformidad a lo establecido en el artículo 35 de la ley N° 21.080.

l) Participar, recibir cooperación y colaborar con organismos internacionales en materias de protección de datos personales.

m) Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Sanciones y Cumplimiento.

n) Ejercer las demás funciones y atribuciones que la ley le encomiende.

Requerido un organismo de la Administración para el ejercicio de las funciones o atribuciones que esta ley le entrega a la Agencia, deberá dar cumplimiento a lo dispuesto en el inciso segundo del artículo 14 de la ley N° 19.880.

Artículo 30 ter.- Dirección de la Agencia. La dirección superior de la Agencia le corresponderá al Consejo Directivo de la Agencia, el cual tendrá las siguientes funciones y atribuciones:

a) Ejercer las atribuciones y cumplir las funciones que la ley le encomiende a la Agencia.

b) Establecer normativa interna de funcionamiento de la Agencia para el cumplimiento de las funciones encomendadas por la ley.

c) Establecer políticas de planificación, organización, dirección, supervisión, coordinación y control de funcionamiento de la Agencia, así como las de administración, adquisición y enajenación de bienes.

d) Dictar normas de carácter general, circulares, oficios circulares y otras resoluciones que se requieran.

e) Formular al Presidente de la República o al Congreso Nacional las propuestas de reforma a normas legales y reglamentarias.

f) Elaborar, dentro del primer cuatrimestre de cada año, una cuenta pública anual en que se detalle el trabajo efectuado por la Agencia en el año inmediatamente anterior.

Artículo 30 quáter.- Miembros del Consejo Directivo de la Agencia. El Consejo Directivo de la Agencia estará integrado por tres consejeros, designados por el Presidente de la República, con acuerdo del Senado, adoptado por los dos tercios de sus miembros en ejercicio.

Para efectos de su designación, el Presidente de la República hará la proposición de la nómina que corresponda y el Senado deberá pronunciarse respecto de la propuesta.

Los candidatos a consejero deberán ser personas de reconocido prestigio profesional o académico en materias de protección de datos personales.

El Consejo Directivo de la Agencia designará a su presidente y vicepresidente, de entre sus miembros, de conformidad con lo establecido en los estatutos de la Agencia. Los cargos de presidente y vicepresidente durarán tres años o el tiempo que les reste como consejeros en cada caso.

Los consejeros durarán seis años en sus cargos, no podrán ser designados para un nuevo periodo y se renovarán de forma individual, cada dos años.

El cargo de consejero del Consejo Directivo de la Agencia exige dedicación exclusiva.

El Consejo Directivo de la Agencia adoptará sus decisiones por la mayoría de sus miembros y, en caso de empate, resolverá su presidente, o su vicepresidente en caso de ausencia del presidente. El quorum mínimo para sesionar será de dos consejeros. El reglamento establecerá las demás normas necesarias para su funcionamiento.

El Consejo Directivo de la Agencia deberá celebrar sesiones ordinarias a lo menos una vez por semana, y sesiones extraordinarias cuando las cite especialmente su presidente por sí o a requerimiento escrito de dos consejeros, en la forma y condiciones que determine su normativa interna de funcionamiento.

El presidente no podrá negarse a realizar la citación indicada, debiendo la respectiva sesión tener lugar dentro de los dos días hábiles siguientes al requerimiento señalado.

Artículo 30 quinquies.- Inhabilidades e incompatibilidades. El cargo de consejero es incompatible con el desempeño de todo cargo o servicio, sea o no remunerado, que se preste en el sector privado. De igual forma, es incompatible con la calidad de integrante de los órganos de dirección de los partidos políticos, funcionarios de la Administración del Estado, y de todo empleo o servicio retribuido con fondos fiscales o municipales, y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley, como asimismo, de empresas, sociedades o entidades públicas o privadas en que el Estado, sus empresas, sociedades o instituciones centralizadas o descentralizadas, tengan aportes de capital mayoritario o en igual proporción o, en las mismas condiciones, representación o participación. Asimismo, es incompatible con cualquier otro servicio o empleo remunerado o gratuito en cualquier poder del Estado.

El cargo de consejero es compatible con el desempeño de cargos docentes en instituciones públicas o privadas reconocidas por el Estado, hasta un máximo de doce horas semanales.

El cónyuge o conviviente civil de cualquiera de los consejeros y sus parientes hasta el segundo grado de consanguinidad inclusive, no podrán ser director ni tener participación en la propiedad de una empresa cuyo objeto o giro comercial verse sobre recolección, tratamiento o comunicación de datos personales.

Adicionalmente, no podrá ser designado consejero:

a) La persona que hubiere sido condenada por delito que merezca pena aflictiva o inhabilitación perpetua para desempeñar cargos u oficios públicos, por delitos de prevaricación, cohecho y aquéllos cometidos en el ejercicio de la función pública, delitos tributarios y los delitos contra la fe pública.

b) La persona que tuviere dependencia de sustancias o drogas estupefacientes o sicotrópicas ilegales, a menos que justifique su consumo por tratamiento médico.

c) La persona que haya sido sancionada, dentro de los últimos cinco años, por infracción grave o gravísima a las normas que regulan el tratamiento de los datos personales y su protección.

d) Quienes, dentro del último año, hayan sido gerentes, delegados de datos, directores o hayan tenido participación en la propiedad de una empresa cuyo objeto o giro comercial verse sobre el tratamiento de datos personales.

En todo lo no expresamente regulado en este artículo, regirán las normas del Párrafo 2° del Título III del decreto con fuerza de ley N° 1-19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado.

Artículo 30 sexies.- Remoción de consejeros y causales de cesación. Los consejeros serán removidos por la Corte Suprema, a requerimiento del Presidente de la República o de la Cámara de Diputados mediante acuerdo adoptado por simple mayoría, o a petición de quince diputados, por incapacidad, mal comportamiento o negligencia manifiesta en el ejercicio de sus funciones. La Corte Suprema conocerá del asunto en pleno especialmente convocado al efecto y para acordar la remoción deberá reunir el voto conforme de la mayoría de sus miembros en ejercicio.

Además de la remoción, serán causales de cesación en el cargo de consejero, las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia ante el Presidente de la República.

c) Postulación a un cargo de elección popular.

d) Inhabilidad o incompatibilidad sobreviniente, circunstancia que será calificada por la mayoría de los consejeros con exclusión del afectado.

En caso de que uno o más consejeros cesare por cualquier causa, procederá la designación de un nuevo consejero, mediante una proposición del Presidente de la República, sujeto al mismo procedimiento dispuesto en el artículo 30 quáter, por el período que restare.

Si el consejero que cesare en el cargo en virtud del presente artículo invistiere la condición de presidente o vicepresidente del Consejo Directivo de la Agencia, su reemplazante será designado en la forma prevista en el artículo 30 quáter, por el tiempo que faltare al que produjo la vacante.

Artículo 30 septies.- Remuneración. El presidente del Consejo Directivo de la Agencia percibirá una remuneración bruta mensualizada equivalente a la de un Subsecretario de Estado, y le corresponderá ejercer las funciones señaladas en el artículo 30 nonies y en las demás disposiciones legales pertinentes.

Los demás consejeros percibirán una remuneración equivalente al 85% de la remuneración que corresponda al presidente del Consejo Directivo de la Agencia.

Artículo 30 octies.- Estatutos Agencia. Los estatutos de la Agencia establecerán sus normas de funcionamiento. Los estatutos y sus modificaciones serán propuestos por la Agencia al Presidente de la República y su aprobación se dispondrá mediante decreto supremo expedido a través del Ministerio de Economía, Fomento y Turismo.

Artículo 30 nonies.- Funciones y atribuciones del presidente del Consejo Directivo de la

Agencia. El presidente del Consejo Directivo de la Agencia será el jefe de servicio de la Agencia y tendrá la representación judicial y extrajudicial de ésta. Tendrá a su cargo la organización y administración de la Agencia, y le corresponderá ejercer la vigilancia y control jerárquico de la actuación del personal de la Agencia.

Al presidente del Consejo Directivo de la Agencia le corresponderán especialmente las siguientes funciones y atribuciones:

a) Ejercer el rol de jefe de servicio.

b) Ejecutar y dar cumplimiento a las normas y acuerdos adoptados por el Consejo Directivo de la Agencia.

c) Citar y presidir las sesiones del Consejo Directivo de la Agencia, así como establecer la tabla de materias a ser tratadas en cada sesión.

d) Representar legal, judicial y extrajudicialmente a la Agencia.

e) Dictar los reglamentos internos necesarios para el buen funcionamiento del Consejo Directivo de la Agencia, previo acuerdo del Consejo Directivo de la Agencia, velando por el cumplimiento de las normas aplicables a la Agencia.

f) Contratar al personal de la Agencia y poner término a sus servicios, de conformidad a la ley.

g) Ejecutar los actos y celebrar las convenciones necesarias para el cumplimiento de los fines del Consejo Directivo de la Agencia.

h) Delegar atribuciones o facultades específicas en funcionarios de la Agencia.

i) Conducir las relaciones de la Agencia con los organismos públicos y demás órganos del Estado y con las personas o entidades sujetas a la fiscalización de ésta, como también con las entidades reguladoras internacionales de datos personales.

j) Ejercer las demás funciones que le sean delegadas por el Consejo Directivo de la Agencia.

El vicepresidente del Consejo Directivo de la Agencia asumirá las funciones y atribuciones del presidente del Consejo Directivo de la Agencia en caso de ausencia de éste.

Artículo 31.- Coordinación regulatoria con el Consejo para la Transparencia. Cuando la Agencia deba dictar una instrucción o norma de carácter general y obligatoria que pueda tener efectos en los ámbitos de competencia del Consejo para la Transparencia, de acuerdo a las funciones y atribuciones señaladas en la ley N° 20.285, le remitirá todos los antecedentes y requerirá de éste un informe para efectos de evitar o precaver potenciales conflictos de normas y asegurar la coordinación, cooperación y colaboración entre ambos órganos.

El Consejo para la Transparencia deberá evacuar el informe solicitado dentro del plazo de treinta días corridos, contado desde la fecha en que hubiere recibido el requerimiento a que se refiere el inciso precedente.

La Agencia considerará el contenido de la opinión del Consejo para la Transparencia expresándolo en la motivación de la instrucción o norma que dicte. Transcurrido el plazo sin que se hubiere recibido el informe, se procederá conforme al inciso segundo del artículo 38 de la ley N° 19.880.

A su vez, cuando el Consejo para la Transparencia deba dictar una instrucción general que tenga claros efectos en los ámbitos de competencia de la Agencia, de acuerdo a las funciones y atribuciones señaladas en esta ley, el Consejo para la Transparencia remitirá los antecedentes y requerirá informe a la Agencia, la cual deberá evacuarlo en el plazo de treinta días corridos, contado desde la fecha en que hubiere recibido el requerimiento. El Consejo para la Transparencia considerará el contenido de la opinión de la Agencia expresándolo en la motivación de la instrucción general que dicte al efecto.

Transcurrido el plazo sin que se hubiere recibido el informe, se procederá conforme al inciso segundo del artículo 38 de la ley N° 19.880.

Artículo 32.- Personal de la Agencia y fiscalización. Las personas que presten servicios a la Agencia se regirán por el Código del Trabajo.

Sin perjuicio de lo anterior, serán aplicables a este personal las normas de probidad establecidas en la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses y en el Título III del decreto con fuerza de ley N° 1-19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Las personas que desempeñen funciones directivas en la Agencia serán seleccionadas mediante concurso público efectuado por la Dirección Nacional del Servicio Civil, sobre la base de una terna conformada por el Consejo de Alta Dirección Pública para cada caso, de acuerdo con las normas que regulan los procesos de selección de la Alta Dirección Pública según la ley N° 19.882.

En caso de que terceros ejerzan, en contra de los consejeros o del personal de la Agencia, acciones judiciales por actos formales o por acciones u omisiones producidas en el ejercicio de sus cargos, la Agencia deberá proporcionarles defensa jurídica. Esta defensa se extenderá a todas aquellas acciones que se inicien en su contra incluso después de haber cesado en el cargo.

No procederá la defensa a que se refiere el inciso anterior en los casos en que los actos formales, acciones u omisiones en cuestión hayan configurado una causal de cesación imputable a la conducta del respectivo funcionario.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, sobre Administración Financiera del Estado.

Asimismo, la Agencia estará sometida a la fiscalización de la Contraloría General de la República, en lo que concierne a su personal y al examen y juzgamiento de sus cuentas.

Las resoluciones de la Agencia estarán exentas del trámite de toma de razón por la Contraloría General de la República.

Artículo 32 bis.- Del patrimonio. El patrimonio de la Agencia estará formado por:

a) El aporte que se contemple anualmente en la Ley de Presupuestos del Sector Público.

b) Los bienes muebles e inmuebles que se le transfieran o que adquieran a cualquier título y por los frutos que de ellos se perciban.

c) Las donaciones que la Agencia acepte. Las donaciones no requerirán del trámite de insinuación judicial a que se refiere el artículo 1401 del Código Civil.

d) Las herencias y legados que la Agencia acepte, lo que deberá hacer siempre con beneficio de inventario. Dichas asignaciones estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten.

e) Los aportes de la cooperación internacional.

Título VII.- De las infracciones y sus sanciones, de los procedimientos y de las responsabilidades

Artículo 33.- Régimen general de responsabilidad. El responsable de datos, sea una persona natural o jurídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios señalados en el artículo 3° y los derechos y obligaciones establecidos en esta ley, será sancionado de conformidad con las normas del presente Título.

Párrafo Primero.- De la responsabilidad, las infracciones y las sanciones aplicables a las personas naturales o jurídicas de derecho privado

Artículo 34.- Infracciones leves, graves y gravísimas. Las infracciones cometidas por los responsables de datos a los principios señalados en el artículo 3° y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.

Las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley, se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.

Artículo 34 bis.- Infracciones leves. Se consideran infracciones leves, las siguientes:

a) Incumplir total o parcialmente el deber de información y transparencia, establecido en el artículo 14 ter.

b) Carecer de la individualización del domicilio postal, correo electrónico o medio electrónico equivalente que permita comunicarse con el responsable de datos o su representante legal, actualizado y operativo, a través del cual los titulares de datos puedan dirigir sus comunicaciones o ejercer sus derechos.

c) Omitir la respuesta, responder en forma incompleta o fuera de plazo, las solicitudes formuladas por el titular de datos en conformidad a esta ley.

d) Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.

e) Incumplir las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.

f) Cometer cualquier otra infracción a los derechos y obligaciones establecidos en esta ley, que no sea calificada como una infracción grave o gravísima.

Artículo 34 ter.- Infracciones graves. Se consideran infracciones graves, las siguientes:

a) Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.

b) Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario, o comunicar o ceder los datos para un fin distinto del autorizado.

c) Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento vulnerando lo dispuesto en el literal c) del artículo 3°.

d) Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento, salvo que la actualización de estos datos corresponda al titular en virtud de la ley o el contrato.

e) Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, supresión, oposición o portabilidad del titular.

f) Omitir la respuesta, responder tardíamente o denegar la petición sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.

g) Realizar tratamiento de datos personales de niños, niñas y adolescentes con infracción a las normas previstas en esta ley.

h) Realizar tratamiento de datos personales sin cumplir los requisitos establecidos para las personas jurídicas de derecho privado sin fines de lucro y cuya finalidad sea política, filosófica, religiosa, cultural, sindical o gremial, respecto de los datos de sus asociados.

i) Vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis.

j) Vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies.

k) Omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies.

l) Adoptar medidas de calidad y seguridad insuficientes o no idóneas para el tratamiento de datos personales con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.

m) Realizar operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.

n) Incumplir una resolución o un requerimiento específico y directo que haya impartido la Agencia.

Artículo 34 quáter.- Infracciones gravísimas. Se consideran infracciones gravísimas, las siguientes:

a) Efectuar tratamiento de datos personales en forma fraudulenta.

b) Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.

c) Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.

d) Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.

e) Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.

f) Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.

g) Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.

h) Realizar, a sabiendas, operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.

i) Incumplir una resolución de la Agencia que resuelve la reclamación de un titular sobre el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad o bloqueo temporal.

j) Entregar, a sabiendas, información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones.

k) Incumplir la obligación establecida en el artículo 15 ter, en los casos que corresponda.

Artículo 35.- Sanciones. Las sanciones a las infracciones en que incurran los responsables de datos serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales.

En cada caso, la Agencia señalará las medidas tendientes a subsanar las causales que dieron motivo a la sanción, las que deberán ser adoptadas en un plazo no mayor a sesenta días, de lo contrario se impondrá un recargo de 50% a la multa cursada, sin perjuicio de lo establecido en el artículo 49.

En caso de que exista reincidencia, de conformidad al literal a) del inciso segundo del artículo 36, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.

En caso de que el infractor corresponda a una empresa distinta de aquéllas definidas como empresas de menor tamaño en el artículo segundo de la ley N° 20.416, que reincida en infracción de carácter grave o gravísima en los términos del literal a) del inciso segundo del artículo 36, la multa podrá alcanzar a la más gravosa entre la señalada en el inciso anterior o hasta el monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, según se trate de infracciones graves o gravísimas, respectivamente.

Artículo 36.- Circunstancias atenuantes y agravantes de responsabilidad. Se considerarán circunstancias atenuantes:

1. Las acciones unilaterales de reparación que realice el responsable y los acuerdos reparatorios convenidos con los titulares de datos que fueron afectados.

2. La colaboración que el infractor preste en la investigación administrativa practicada por la Agencia.

3. La ausencia de sanciones previas del responsable de datos.

4. La autodenuncia ante la Agencia. Junto con la autodenuncia, el infractor deberá comunicar las medidas adoptadas para el cese de los hechos que originaron la infracción o las medidas de mitigación implementadas, según corresponda.

5. El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo a lo dispuesto en el artículo 51.

Se considerarán circunstancias agravantes:

a) La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.

b) El carácter continuado de la infracción.

c) El haber puesto en riesgo la seguridad de los derechos y libertades de los titulares en relación a sus datos personales.

Artículo 37.- Determinación del monto de las multas. Para la determinación del monto de las multas señaladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:

1. La gravedad de la conducta.

2. Si la conducta fue realizada con falta de diligencia o cuidado en aquellos casos que no se consideran estos elementos en la configuración de la infracción.

3. El perjuicio producido con motivo de la infracción, especialmente el número de titulares de datos que se vieron afectados.

4. El beneficio económico obtenido con motivo de la infracción, en caso de que lo hubiese.

5. Si el tratamiento realizado incluye datos personales sensibles o datos personales de niños, niñas y adolescentes.

6. La capacidad económica del infractor.

7. Las sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias.

8. Las circunstancias atenuantes y agravantes que concurran.

En caso de que una conducta dé origen a dos o más infracciones, o cuando una infracción sea medio para cometer otra, se impondrá una sola multa, considerando siempre la sanción de la infracción más grave. En caso de que se verifiquen dos o más conductas infraccionales, independientes entre sí, se acumularán las sanciones correspondientes a cada una de ellas.

Las multas deberán ser pagadas en la Tesorería General de la República, a través de los medios presenciales o digitales que ella disponga, dentro del plazo de diez días hábiles contado desde que la resolución de la Agencia se encuentre firme. El comprobante de pago correspondiente deberá ser presentado a la Agencia dentro del plazo de diez días hábiles contado desde que se hubiere efectuado el pago.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

Artículo 38.- Sanciones accesorias. En caso que se impongan multas por infracciones gravísimas reiteradas, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.

La suspensión que disponga la Agencia como sanción accesoria podrá ser parcial o total, y no podrá decretarse cuando con ello se afecten los derechos de los titulares.

Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.

Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se podrá prorrogar indefinidamente, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado.

Cuando la suspensión afecte a una entidad sujeta a supervisión por parte de un organismo público de carácter fiscalizador, la Agencia deberá previamente poner los antecedentes en conocimiento de la autoridad regulatoria correspondiente, para los efectos de cautelar los derechos de los usuarios de dicha entidad.

Artículo 39.- Registro Nacional de Sanciones y Cumplimiento. Créase el Registro Nacional de Sanciones y Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito.

Se consultará y llevará en forma electrónica.

En él se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los derechos y obligaciones establecidos en esta ley. Deberá distinguirse según la gravedad de la infracción. Adicionalmente, se deberá consignar la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. También se deberán consignar los responsables que adopten modelos certificados de prevención de infracciones, con carácter vigente.

Las anotaciones en el registro serán de acceso público por el período de cinco años, a contar de la fecha en que se practicó la anotación.

Artículo 40.- Prescripción. Las acciones para perseguir la responsabilidad por las infracciones previstas en esta ley prescriben en el plazo de cuatro años, contado desde la ocurrencia del hecho que originó la infracción.

En caso de infracciones continuadas, el plazo de prescripción de las referidas acciones se contará desde el día en que la infracción haya cesado.

Se interrumpe la prescripción con la notificación del inicio del procedimiento administrativo correspondiente.

Las sanciones que se impongan por una infracción a la presente ley prescriben en el plazo de tres años, contado desde la fecha en que la resolución que impone la sanción quede ejecutoriada.

Párrafo Segundo .- De los procedimientos administrativos

Artículo 41.- Procedimiento administrativo de tutela de derechos. El titular de datos podrá reclamar ante la Agencia cuando el responsable le haya denegado una solicitud realizada de conformidad al artículo 11 de la presente ley, o no hubiere dado respuesta a dicha solicitud dentro del plazo legal establecido en ese artículo.

La reclamación presentada se tramitará conforme a las siguientes reglas:

a) Deberá ser presentada por escrito, en formato físico o electrónico dentro del plazo de treinta días hábiles contado desde que reciba la respuesta negativa del responsable de datos o haya vencido el plazo que disponía el responsable para responder el requerimiento formulado por el titular. La reclamación deberá señalar la decisión impugnada en caso de rechazo u omisión de respuesta y acompañar todos los antecedentes en que aquélla se funda e indicar un domicilio postal o una dirección de correo electrónico u otro medio electrónico equivalente donde se practicarán las notificaciones.

b) Junto con la interposición del reclamo, a petición fundada del titular y sólo en casos justificados, la Agencia podrá suspender el tratamiento de los datos personales que conciernen al titular y que son objeto de la reclamación, debiendo previamente oír al responsable de datos.

c) Recibido el reclamo, la Agencia, dentro de los diez días hábiles siguientes, deberá determinar si éste cumple con los requisitos establecidos en la letra a) para ser acogido a tramitación. En caso de que no se acoja a trámite la reclamación, la resolución de la Agencia debe ser fundada y se notificará al titular. En todo caso, se entenderá acogido a tramitación el reclamo si la Agencia no se pronuncia en el término indicado precedentemente.

d) Acogido el reclamo a tramitación, la Agencia notificará al responsable de datos, quien dispondrá de un plazo de treinta días corridos, prorrogables hasta por el mismo plazo, para responder la reclamación, acompañando todos los antecedentes que estime pertinentes. Las notificaciones que se practiquen al responsable se realizarán a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente a que alude la letra c) del artículo 14 ter.

e) Vencido este plazo, haya o no contestado el responsable de los datos y, sólo si existen hechos sustanciales, pertinentes y controvertidos, la Agencia podrá abrir un término probatorio de diez días hábiles en el cual las partes pueden hacer valer todos los medios de prueba que estimen convenientes.

f) El responsable de datos en su respuesta podrá allanarse a la reclamación, en cuyo caso deberá acompañar los antecedentes o testimonios que acrediten esta circunstancia. Verificado lo anterior, será notificado el titular de datos quien tendrá diez días para hacer valer sus derechos. Cumplido el plazo, la Agencia procederá al archivo de los antecedentes, previa aplicación de la sanción o instrucción al responsable de datos, cuando corresponda.

g) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución. Podrá convocar a las partes a una audiencia e instarlas a alcanzar un acuerdo.

Las opiniones que puedan expresar los funcionarios de la Agencia en esta audiencia, no los inhabilitará para seguir conociendo del asunto en caso de que no se alcance un acuerdo. Logrado el acuerdo se archivarán los antecedentes.

h) La resolución del reclamo deberá dictarse por la Agencia y deberá ser fundada. El procedimiento administrativo de tutela de derechos no podrá superar los seis meses.

i) La resolución de la Agencia que no acoge a tramitación un reclamo y la resolución que resuelve la reclamación, podrán ser impugnadas judicialmente dentro del plazo de quince días hábiles contado desde su notificación, a través del procedimiento establecido en el artículo 43.

Las reclamaciones y las solicitudes de suspensión del tratamiento formuladas en caso de rechazo de una solicitud de bloqueo temporal, deberán ser resueltas por la Agencia en el plazo máximo de tres días hábiles, sin necesidad de oír previamente a las partes.

Artículo 42.- Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan los responsables de datos por incumplimiento o vulneración de los principios establecidos en el artículo 3°, de los derechos y obligaciones establecidos en esta ley y la aplicación de las sanciones correspondientes, se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, como resultado de un proceso de fiscalización o a consecuencia de una reclamación presentada por un titular de datos, en virtud del procedimiento establecido en los artículos 23 y 41 de esta ley. En este último caso, se deberá certificar la recepción del reclamo. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento.

c) La Agencia deberá presentar una formulación de cargos en contra del responsable de datos en que describa los hechos que configuran la infracción, los principios y obligaciones incumplidos o vulnerados por el responsable, las normas legales infringidas y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos debe notificarse al responsable de datos a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente señalado en la letra c) del artículo 14 ter.

e) El responsable de datos tendrá un plazo de quince días hábiles para presentar sus descargos.

En esa oportunidad, el responsable de datos puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, el responsable deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia podrá abrir un término probatorio de diez días en el caso que existan hechos sustanciales, pertinentes y controvertidos.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite el responsable en sus descargos, siempre que sean pertinentes y necesarias. En caso de rechazo, deberá fundar su resolución.

h) Los hechos investigados y las responsabilidades de los presuntos infractores pueden acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por el responsable de datos y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios, derechos y obligaciones establecidos en la ley por el responsable o su absolución, según corresponda. En caso que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

k) La resolución que establezca el incumplimiento o vulneración a los principios, derechos y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución debe indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable judicialmente conforme al artículo siguiente.

l) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, el interesado podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.

Párrafo Tercero.- Del procedimiento de reclamación judicial

Artículo 43.- Procedimiento de reclamación judicial. Las personas naturales o jurídicas interesadas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción, y cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte puede abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda y, mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Párrafo Cuarto.- De la responsabilidad de los órganos públicos, de la autoridad o jefe superior del órgano y de sus funcionarios

Artículo 44.- Responsabilidad administrativa del jefe superior del órgano público. El jefe superior de un órgano público deberá velar por que el órgano respectivo realice sus operaciones y actividades de tratamiento de los datos personales con arreglo a los principios, derechos y obligaciones establecidos en el Título IV de esta ley.

Asimismo, los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49.

Las infracciones a los principios establecidos en el artículo 3°, y a los derechos y obligaciones en que puedan incurrir los órganos públicos se tipifican en los artículos 34 bis, 34 ter y 34 quáter y serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza de los datos tratados y el número de titulares afectados.

En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.

Tratándose de datos personales sensibles, la multa será del cincuenta por ciento de la remuneración mensual del jefe superior del órgano público y procederá la suspensión en el cargo de hasta treinta días.

Las infracciones en que incurra un órgano público en el tratamiento de los datos personales serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 42.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 43.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contado desde que la respectiva resolución quede firme.

Artículo 45.- Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 34 quáter de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.

Artículo 46.- Deber de los funcionarios de reserva y confidencialidad. Los funcionarios de los órganos públicos que traten datos personales y especialmente, cuando se refieran a datos personales sensibles o datos relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias, deben guardar secreto o confidencialidad respecto de la información que tomen conocimiento en el ejercicio de sus cargos y abstenerse de usar dicha información con una finalidad distinta de la que corresponda a las funciones legales del órgano público respectivo o utilizarla en beneficio propio o de terceros. Para efectos de lo dispuesto en el inciso segundo del artículo 125 del Estatuto Administrativo, se estimará que los hechos que configuren infracciones a esta disposición vulneran gravemente el principio de probidad administrativa, sin perjuicio de las demás sanciones y responsabilidades que procedan.

Cuando, en cumplimiento de una obligación legal, un órgano público comunica o cede a otro órgano público datos protegidos por normas de secreto o confidencialidad, el organismo público receptor y sus funcionarios deberán tratarlos manteniendo la misma obligación de secreto o confidencialidad.

Párrafo Quinto.- De la responsabilidad civil

Artículo 47.- Norma general. El responsable de datos deberá indemnizar el daño patrimonial y extrapatrimonial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios establecidos en el artículo 3°, los derechos y obligaciones establecidos en esta ley y les cause perjuicio. Lo anterior no obsta al ejercicio de los demás derechos que concede esta ley al o los titulares de datos.

La acción indemnizatoria señalada en el inciso anterior podrá interponerse una vez ejecutoriada la resolución que resolvió favorablemente el reclamo interpuesto ante la Agencia o la sentencia se encuentre firme y ejecutoriada, en caso de haber presentado un reclamo de ilegalidad, y se tramitará de conformidad a las normas del procedimiento sumario establecidas en los artículos 680 y siguientes del Código de Procedimiento Civil.

Las acciones civiles que deriven de una infracción a la presente ley prescribirán en el plazo de cinco años, contado desde que se encuentre ejecutoriada la resolución administrativa o la sentencia judicial, según sea el caso, que imponga la multa respectiva.

Artículo 48.- Prevención de infracciones. Los responsables de datos, sean personas naturales o jurídicas, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones establecidas en los artículos 34 bis, 34 ter y 34 quáter.

Artículo 49.- Modelo de prevención de infracciones. Los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento.

El programa de cumplimiento deberá contener, al menos, los siguientes elementos:

a) La designación de un delegado de protección de datos personales.

b) La definición de medios y facultades del delegado de protección de datos.

c) La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.

d) La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.

e) El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.

f) Los mecanismos de reporte interno sobre el cumplimiento de lo dispuesto en la presente ley y los mecanismos de reporte a la autoridad de protección de datos para el caso del artículo 14 sexies.

g) La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.

La regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de ellas, o bien, como una obligación del reglamento interno del que tratan los artículos 153 y siguientes del Código del Trabajo. En este último caso, se deben realizar las medidas de publicidad establecidas en el artículo 156 del mismo Código.

Artículo 50.- Atribuciones del delegado. El responsable de datos podrá designar un delegado de protección de datos personales.

El delegado de protección de datos deberá ser designado por la máxima autoridad directiva o administrativa del responsable de datos. Se considerará como la máxima autoridad directiva o administrativa al directorio, un socio administrador o a la máxima autoridad de la empresa o servicio, según corresponda.

El delegado de protección de datos deberá contar con autonomía respecto de la administración, en las materias relacionadas con esta ley. En las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente las tareas de delegado de protección de datos.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos, procurando mantener la independencia en su función. El responsable garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Las sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, podrán designar un único delegado de protección de datos, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales, y el delegado sea accesible para todas las entidades y establecimientos.

La designación del delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.

Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de esta ley.

El delegado de protección de datos estará obligado a mantener estricto secreto o confidencialidad de los datos personales que conociere en ejercicio de su cargo. Los funcionarios públicos que desempeñen estas funciones e infrinjan este deber de secreto o confidencialidad, serán sancionados de conformidad a lo que se prescribe en los artículos 246 a 247 bis del Código Penal. El responsable se hará cargo por las infracciones al deber de secreto o confidencialidad que debía cumplir su encargado de prevención o delegado de protección, sin perjuicio de las acciones de repetición que pueda ejercer contra éste.

El responsable de datos deberá disponer que el delegado cuente con los medios y facultades suficientes para el desempeño de sus funciones, debiendo otorgarle los recursos materiales necesarios para realizar adecuadamente sus labores, en consideración al tamaño y capacidad económica de la entidad.

Sin perjuicio de las demás funciones que se le puedan asignar, el delegado de protección de datos tendrá las siguientes funciones:

a) Informar y asesorar al responsable de datos, a los terceros encargados o mandatarios y a los dependientes del responsable, respecto de las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento.

b) Promover y participar en la política que dicte el responsable de datos respecto de la protección y el tratamiento de los datos personales.

c) Supervisar el cumplimiento de la presente ley y de la política que dicte el responsable, dentro del ámbito de su competencia.

d) Preocuparse de la formación permanente de las personas que participan en las operaciones de tratamiento de datos.

e) Asistir a los miembros de la organización en la identificación de los riesgos asociados a la actividad de tratamiento y las medidas a adoptar para resguardar los derechos de los titulares de datos personales.

f) Desarrollar un plan anual de trabajo y rendir cuenta de sus resultados.

g) Absolver las consultas y solicitudes de los titulares de datos.

h) Cooperar y actuar como punto de contacto de la Agencia.

Artículo 51.- Certificación, registro, supervisión del modelo de prevención de infracciones y reglamento. La Agencia será la entidad encargada de certificar que el modelo de prevención de infracciones reúna los requisitos y elementos establecidos en la ley y su reglamento y supervisarlos.

La Agencia incorporará en el Registro Nacional de Sanciones y Cumplimiento a las entidades que posean una certificación vigente.

Un reglamento expedido a través del Ministerio de Hacienda y suscrito por el Ministro Secretario General de la Presidencia y por el Ministro de Economía, Fomento y Turismo establecerá los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones.

Artículo 52.- Vigencia de los certificados. Los certificados expedidos por la Agencia tendrán una vigencia de tres años. Sin perjuicio de lo anterior, quedarán sin efecto en los siguientes casos:

a) Por revocación efectuada por la Agencia.

b) Por fallecimiento del responsable de datos en los casos de personas naturales.

c) Por disolución de la persona jurídica.

d) Por resolución judicial ejecutoriada.

e) Por cese voluntario de la actividad del responsable de datos.

El término de vigencia de un certificado por alguna de las causales señaladas precedentemente será inoponible a terceros, mientras no sea eliminado del registro.

Artículo 53.- Revocación de la certificación. La Agencia puede revocar la certificación indicada en los artículos precedentes, si el responsable no da cumplimiento a lo establecido en este Párrafo. Con este objeto, la Agencia podrá requerir toda aquella información que fuere necesaria para el ejercicio de sus funciones.

Los responsables pueden exceptuarse de entregar la información solicitada cuando la misma esté amparada por una obligación de secreto o confidencialidad, debiendo acreditar dicha circunstancia.

El incumplimiento en la entrega de la información requerida, así como la entrega de información falsa, incompleta o manifiestamente errónea, será sancionado en conformidad con esta ley.

Cuando un certificado ha sido revocado por la Agencia, para volver a solicitarlo el responsable de datos debe acreditar fehacientemente que la causal que dio origen a su revocación ha sido subsanada.

Título VIII.- Del tratamiento de datos personales por el Congreso Nacional, el Poder Judicial y organismos públicos dotados de autonomía constitucional

Artículo 54.- Regla general del tratamiento de datos personales. Es lícito el tratamiento de los datos personales que efectúan el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y, de conformidad a las normas especiales que se establecen en sus respectivas leyes orgánicas y a las disposiciones del Título IV de esta ley aplicables a los órganos públicos, con excepción de lo dispuesto en el artículo 14 quinquies y en los artículos 44 a 46, en lo referido a la intervención de la Contraloría General de la República en la determinación de la responsabilidad administrativa y la aplicación de la ley N° 18.834.

Los funcionarios de estos organismos deberán guardar secreto de tales datos. En esas condiciones estas instituciones y organismos tienen la calidad de responsables de datos y no requieren el consentimiento del titular para efectuar el tratamiento de sus datos personales.

Las autoridades superiores de los órganos internos de estas instituciones deberán dictar las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley, especialmente aquellas que permitan el ejercicio de los derechos que se reconocen a los titulares de datos y las que fijan los estándares o condiciones mínimas de control, seguridad y resguardo que se deben observar en el tratamiento de los datos personales, pudiendo requerir para ello la asistencia técnica de la Agencia. Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación a las infracciones que se produzcan en el tratamiento de los datos personales, particularmente las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.

Artículo 55.- Ejercicio de los derechos y reclamaciones. Los titulares de datos ejercerán los derechos que les reconoce esta ley ante el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, de acuerdo a procedimientos racionales y justos, y ante los organismos que dispongan estas instituciones, de conformidad a lo señalado en el artículo anterior.

En caso que la Contraloría General de la República, el Ministerio Público, el Banco Central o el Servicio Electoral denieguen injustificada o arbitrariamente el ejercicio de un derecho reconocido por esta ley a un titular de datos, o bien infrinjan algún principio establecido en el artículo 3°, deber u obligación establecida en ella, causándole perjuicio, el titular que se vea agraviado o afectado por la decisión del organismo, podrá reclamar ante la Corte de Apelaciones, de acuerdo al procedimiento dispuesto en el artículo 43 de esta ley.

Las autoridades superiores del Congreso Nacional, del Poder Judicial, del Tribunal Constitucional, de la Justicia Electoral y de los demás tribunales especiales creados por ley, deberán asegurarse que en el tratamiento de los datos personales que realizan estas instituciones se cumplen estrictamente con los principios establecidos en el artículo 3° y los deberes, y se respeten los derechos de los titulares establecidos en esta ley, adoptando las medidas de fiscalización y control interno que resulten necesarias y adecuadas para esta finalidad.”.

15) Derógase el Título Final.

16) Elimínanse los incisos segundo y tercero del artículo 1° transitorio.

Artículo segundo.- Suprímese el literal m) del artículo 33 del artículo primero de la ley N° 20.285, sobre acceso a la información pública.

Artículo tercero.- Suprímese el artículo 15 bis de la ley N° 19.496, que establece normas sobre protección de los derechos de los consumidores.

DISPOSICIONES TRANSITORIAS

Artículo primero.- Las modificaciones a las leyes N° 19.628, sobre protección de la vida privada; N° 20.285, sobre acceso a la información pública, y N° 19.496, que establece normas sobre protección de los derechos de los consumidores, contenidas en los artículos primero, segundo y tercero permanentes de la presente ley, respectivamente, entrarán en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial.

Artículo segundo.- Los reglamentos referidos en la presente ley deberán dictarse dentro de los seis meses siguientes a la publicación de esta ley en el Diario Oficial.

Artículo tercero.- Dentro de los sesenta días anteriores a la entrada en vigencia de las modificaciones a la ley N° 19.628, contenidas en el artículo primero de la presente ley, el Servicio de Registro Civil e Identificación deberá eliminar el registro de los bancos de datos personales contemplado en el actual artículo 22 de la ley N° 19.628.

Artículo cuarto.- La primera designación de los consejeros del Consejo Directivo de la Agencia de Protección de Datos Personales y del presidente y vicepresidente del Consejo Directivo de la Agencia se hará dentro de los sesenta días anteriores a la entrada en vigencia de la presente ley.

En la propuesta que se haga al Senado para la primera designación, se identificará a un consejero que durará dos años en su cargo, a un consejero que durará cuatro años en su cargo y a un consejero que durará seis años en su cargo. La mencionada propuesta se hará en un solo acto y el Senado deberá pronunciarse respecto de la propuesta como una unidad.

Con todo, los consejeros solo asumirán sus cargos una vez que la presente ley entre en vigencia, en conformidad a lo dispuesto en el artículo primero transitorio.

Los estatutos de la Agencia deberán ser propuestos al Presidente de la República, de conformidad al artículo 30 octies de la presente ley, dentro de los noventa días siguientes a la entrada en vigencia de la presente ley.

Artículo quinto.- Los órganos públicos que establezcan un encargado de prevención o delegado de protección de datos personales deberán designar para ello a un funcionario de la dotación vigente del respectivo organismo.

Artículo sexto.- Durante los primeros doce meses luego de la entrada en vigencia de esta ley, en los casos en que proceda alguna sanción para empresas calificadas como de menor tamaño, de acuerdo a las categorías establecidas en el artículo segundo de la ley N° 20.416, que fija normas especiales para aquéllas, la Agencia podrá aplicar como sanción una amonestación por escrito, señalando a los responsables de datos la gravedad de la infracción, la conducta infractora, y las circunstancias atenuantes y agravantes de responsabilidad, si proceden. A esta amonestación será aplicable el deber de registro según lo dispone el artículo 39 de la presente ley.

Artículo séptimo.- Las instituciones y organismos señalados en el artículo 54 deberán dictar las políticas, normas e instrucciones a las que se refiere su inciso segundo, dentro de los dieciocho meses siguientes a la publicación de la presente ley en el Diario Oficial.

Artículo octavo.- El mayor gasto fiscal que represente la aplicación de esta ley, durante su primer año presupuestario de vigencia, se financiará con los recursos que se contemplen en el presupuesto del Ministerio de Economía, Fomento y Turismo y, en lo que faltare, con cargo a la Partida Presupuestaria del Tesoro Público del año presupuestario correspondiente. En los años siguientes estará considerado en la Ley de Presupuestos del Sector Público.”.

Habiéndose cumplido con lo establecido en el N° 1 del Artículo 93 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

Santiago, 25 de noviembre de 2024.-

GABRIEL BORIC FONT, Presidente de la República

Álvaro Elizalde Soto, Ministro Secretario General de la Presidencia.

Mario Marcel Cullell, Ministro de Hacienda

Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo

Jaime Gajardo Falcón, Ministro de Justicia y Derechos Humanos.

Lo que transcribo a Ud. para su conocimiento.-

Saluda Atte. a Ud., Macarena Lobos Palacio, Subsecretaria General de la Presidencia.

Tribunal Constitucional

Proyecto que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, correspondiente a los Boletines N°s. 11.092-07 y 11.144-07, refundidos

La Secretaria del Tribunal Constitucional, quien suscribe, certifica que el Honorable Senado envió el proyecto de ley enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal, ejerciera el control de constitucionalidad respecto de las disposiciones contenidas en el inciso primero del artículo 30 sexies; en el artículo 43; en el inciso sexto del artículo 44; en el inciso primero del artículo 45 y en los artículos 54 y 55, todos contenidos en el numeral 14 del artículo primero del proyecto remitido; y por sentencia de 14 de noviembre de 2024, en los autos Rol N° 15.733-24-CPR.

Se resuelve:

1) Que las disposiciones contenidas en el artículo 30; en las letras a), b), c) y d) del artículo 30 ter; en la primera parte del inciso primero del artículo 30 sexies; en los incisos primero y segundo del artículo 32; en la primera parte del artículo 43, hasta la frase “a elección de este último”; en el artículo 54, sólo en cuanto menciona al Tribunal Constitucional, al Tribunal Calificador de Elecciones y a la Contraloría General de la República, y en el inciso segundo del artículo 55, con exclusión de la frase final “, de acuerdo al procedimiento dispuesto en el artículo 43 de esta ley.”, todos contenidos en el numeral 14 del artículo primero, y la disposición contenida en el artículo segundo del proyecto de ley remitido por el Congreso Nacional, son propias de Ley Orgánica Constitucional y se encuentran ajustadas a la Constitución Política de la República.

2) Que la disposición contenida en el inciso séptimo del artículo 32, contenido en el numeral 14 del artículo primero del proyecto de ley remitido, es propia de Ley Orgánica Constitucional en el entendido que la limitación a las facultades que se confieren a la Contraloría General de la República, deja a salvo el control amplio de legalidad que confiere a este órgano el artículo 98 inciso primero de la Carta Fundamental, en lo que fuere procedente.

3) Que este Tribunal Constitucional no emite pronunciamiento, en examen preventivo de constitucionalidad, respecto de las disposiciones contenidas en las letras e) y f) del artículo 30 ter; en la segunda parte del inciso primero del artículo 30 sexies; en la segunda parte del artículo 43, desde la frase “a elección de este último”; en el inciso sexto del artículo 44; en el inciso primero del artículo 45; en el artículo 54, en cuanto se refiere al Congreso Nacional, al Poder Judicial, al Ministerio Público, al Banco Central, al Servicio Electoral, a la Justicia Electoral -en cuanto comprende a los Tribunales Electorales Regionales- y a los demás tribunales creados por leyes especiales; y en los incisos primero, frase final del inciso segundo y tercero del artículo 55, todos contenidos en el numeral 14 del artículo primero del proyecto de ley remitido a control, por no versar sobre materias propias de Ley Orgánica Constitucional.

Santiago, de 14 noviembre de 2024.- María Angélica Barriga Meza, Tribunal Constitucional.

24Oct/24
Proyecto de Ley

Ponencia Positiva para primer debate Proyecto de Ley Estatutaria nº 154 del 8 de octubre de 2024

Ponencia Positiva para primer debate Proyecto de Ley Estatutaria nº 154 del 8 de octubre de 2024 Cámara, por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones.

Bogotá D.C., 08 de octubre de 2024

Presidenta

ANA PAOLA GARCÍA SOTO

Comisión Primera Constitucional

Cámara de Representantes

Ciudad

Asunto: Ponencia Positiva para primer debate Proyecto de Ley Estatutaria No. 154 del 2024 Cámara “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones”

Cordial saludo Dra. García,

En cumplimiento de la designación hecha por la Mesa Directiva de la Comisión Primera Constitucional Permanente de la Cámara de Representantes, y siguiendo lo dispuesto en el artículo 174 de la ley 5 de 1992, procedemos a rendir informe de ponencia positiva para primer debate del Proyecto de Ley Estatutaria C 154 de 2024 “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones” por las razones que se exponen en el cuerpo de la ponencia.

De las y los Congresistas,

KARYME COTES MARTÍNEZ,  Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente,

ASTRID SÁNCHEZ MONTES DE OCA , Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA , Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente

INFORME DE PONENCIA PARA PRIMER DEBATE AL PROYECTO DE LEY ESTATUTARIA 154 de 2024 CÁMARA “POR LA CUAL SE DEFINE Y REGULA LA INTELIGENCIA ARTIFICIAL, SE AJUSTA A ESTÁNDARES DE DERECHOS HUMANOS, SE ESTABLECEN LÍMITES FRENTE A SU DESARROLLO, USO E IMPLEMENTACIÓN SE MODIFICA PARCIALMENTE LA LEY 1581 DE 2012 Y SE DICTAN OTRAS DISPOSICIONES”

1. OBJETO DEL PROYECTO

El proyecto de ley estatutaria tiene por objeto ajustar a estándares de respeto y garantía de los derechos humanos la inteligencia artificial, regular su desarrollo y establecer límites frente a su uso e implementación por parte de personas naturales y jurídicas. En esa medida, pretende establecer un marco jurídico seguro para el desarrollo tecnológico sin que represente cargas administrativas innecesarias para las pymes y las empresas emergentes, pero basado en consideraciones éticas y en el respeto de los derechos humanos y fundamentales; para tal efecto, propugna por la adaptación, aplicación y ejecución de las normas ya existentes en materia de protección de datos personales.

2. ANTECEDENTES

El 01 de diciembre de 2022 se adelantó una audiencia pública en el recinto de la Comisión Primera Constitucional llamada “Inteligencia Artificial en Colombia: Iniciativas para una regulación con enfoque de DDHH”. En este escenario participaron organizaciones de Derechos Humanos, docentes, miembros de la academia y representantes del Estado, puntualmente del Ministerio de Defensa, el Ministerio de las TIC y el Ministerio de Ciencia y Tecnología. Sobre la regulación de las Inteligencias Artificiales, en la audiencia conocimos que Naciones Unidas en 2021, fijó el primer acuerdo internacional sobre la ética de la inteligencia artificial.

Este acuerdo insiste en la estricta protección a los datos personales y el control de los mismos por las personas, en la estricta prohibición del uso de la I.A. para la clasificación social y la vigilancia masiva y también en necesidad de supervisar y  evaluar la I.A. y sus impactos en las personas, la sociedad y el medio ambiente.

También la OCDE ya ha fijado algunos parámetros para la I.A., entre otros resaltó las recomendaciones que dio la OCDE para los Gobiernos en América Latina y el Caribe que indican que el Desarrollo de IA debe tener un enfoque responsable, fiable y centrado en el ser humano, que comprenda la ética de datos, garantice la imparcialidad y la atenuación del sesgo.

“La inteligencia Artificial puede violar derechos humanos y ser utilizada en procesos de discriminación y racialización; es necesario reglar el desarrollo y uso de las IA para evitar que sobrepasen límites éticos de la humanidad”. Este es uno de los principales desenlaces a los que llegamos en la audiencia pública. En conclusión, en el mundo, cada vez más los Estados se alejan más de los principios de “soft law” o leyes blandas que dejan a la ética de los desarrolladores el control sobre la I.A. y se acercan más a la creación de estándares legales que regulen la temática. Por lo tanto, es necesario que Colombia también emprenda este camino regulatorio.

Posteriormente fue radicado el proyecto de ley estatutaria No 200 de 2023 el 06 de septiembre de 2023 en la Secretaría de la Cámara de Representantes, siendo autores los HR Karyme Adrana Cotes Martínez, Alirio Uribe Muñoz, María Eugenia Lopera Monsalve, Sandra Bibiana Aristizábal Saleg, Carmen Felisa Ramírez Boscán, Gilma Díaz Arias, Flora Perdomo Andrade, Dolcey Oscar Torres Romero, Mónica Karina Bocanegra Pantoja, Jezmi Lizeth Barraza Arraut, Piedad Correal Rubiano, Álvaro Leonel Rueda caballero, Jhoany Carlos Alberto Palacios Mosquera, Hugo Alfonso Archila Suárez, Etna Tamara Argote Calderón, Eduard Giovanny Sarmiento Hidalgo, Pedro José Súarez Vacca, Gabriel Becerra Yañez, David Alejandro Toro Ramírez, Jorge Hernán Bastidas Rosero, fue publicado en gaceta del Congreso No 1260 de 2023. No obstante, este proyecto de ley estatutaria fue archivado en virtud del artículo 190 de la Ley 5ta de 1992.

El 6 de agosto de 2024, se presentó nuevamente la iniciativa legislativa, la cual recoge las disposiciones contenidas del proyecto de ley presentado en la Legislatura 2023 – 2024 y los diferentes ajustes solicitados por los ponentes y miembros de la Comisión I de la Cámara de Representantes.

El 03 de septiembre de 2024 la mesa directiva de la Comisión Constitucional Permanente de la Cámara de Representantes designó como ponentes de la presente iniciativa a los H.R. Karyme Adrana Cotes Martínez H.R. Alirio Uribe Muñoz H.R. Miguel Abraham Polo Polo H.R. Oscar Rodrigo Campo Hurtado H.R. Ruth Amelia Caycedo Rosero H.R. Astrid Sánchez Montes De Oca, H.R. Catherine Juvinao Clavijo H.R. Orlando Castillo Advincula H.R. Marelen Castillo Torres H.R. Luis Alberto Albán Urbano.

En el marco de la construcción conjunta de la ponencia para el primer debate, se han realizado algunos ajustes a la versión presentada, entre los que se encuentran los siguientes:

– Ajustes de redacción y se adiciona una disposición especial al uso de IA en instituciones educativas en el artículo 2 sobre el ámbito de aplicación de la ley.

– Se ajusta el artículo 12, referente a las garantías de seguridad laboral, teniendo en cuentas las disposiciones de la reforma laboral que actualmente cursa en el Congreso.

– Se ajustan las funciones de la Superintendencia y del Ministerio de Tecnologías de la Información.

Atendiendo la solicitud de los ponentes, el 30 de septiembre de 2024 se realizó una Audiencia Pública sobre el proyecto de ley. En esta participaron diversos delegados de entidades públicas con competencias en la materia, expertos en tecnología e inteligencia artificial, así como representantes del ámbito académico, entre los cuales se destacan:

– El Viceministro de Transformación Digital del Ministerio de las Tecnologías de la Información y las Comunicaciones, el doctor Belfor Fabio García.

– El Director de Ciencia del Ministerio de Ciencia, Tecnología e Innovación, el doctor Iván Rodrigo Luna.

– La Directora Técnica de Desarrollo Digital del Departamento Nacional de Planeación, la doctora Viviana Rocio Vanegas.

– La Superintendente de Industria y Comercio, la doctora Cielo Rusinque.

– La Directora Ejecutiva de la Comisión de Regulación de Comunicaciones.

– El Coordinador del Centro de Estudio de Derecho de las TIC (CENTI) de la Universidad Javeriana, el doctor Victor Ayalde.

– El Gerente de Políticas Públicas para la Zona Andina de la Asociación Latinoamericana de Internet (ALAI), el doctor Pablo Nieto.

– La Representante de la Unión Europea, la doctora Esther Montoya.

Durante la audiencia se expresaron diversas opiniones y propuestas de mejora al proyecto de ley, las cuales han sido incorporadas en la presente ponencia.

3. JUSTIFICACIÓN DEL PROYECTO

La realidad mundial demuestra que la inteligencia artificial (IA) hoy constituye una industria que viene creciendo a niveles acelerados, dadas las altas inversiones que están haciendo las empresas para ser más competitivas en el mercado. No obstante, los sistemas de inteligencia artificial al parecer comportan una amenaza para los derechos fundamentales teniendo en cuenta que los algoritmos que permiten el desarrollo, uso e implementación de estos sistemas, se basan en conjuntos masivos de datos personales que son recopilados, procesados y almacenados sin sujeción a los regímenes de protección de datos personales.

El rápido avance de la tecnología, el campo cyber y la Inteligencia Artificial le pone grandes retos a la legislación, a la justicia y a la garantía de los Derechos Humanos en nuestro país. Colombia cuenta con importantes avances en la protección de datos y en la elaboración de herramientas legales que nos ponen junto a Uruguay y Brasil en la punta del liderazgo continental para crear un clima adecuado en materia de Inteligencia Artificial desde los más altos niveles según el Índice Latinoamericano de Inteligencia Artificial (Ilia), elaborado por el Centro Nacional de Inteligencia Artificial de Chile (Cenia). Sin embargo, debemos partir de que no todo desarrollo tecnológico necesariamente es beneficioso para la humanidad.

Desde que se empezó a utilizar la IA hemos visto sus beneficios, pero también los riesgos para los derechos humanos que supone su uso indiscriminado, como una consecuencia natural, a veces inevitable, y tolerable a cambio de los beneficios que ofrece la inteligencia artificial como la agilidad y la eficiencia en las relaciones, con la administración pública, gestión documental, detección de errores procesales, etc. Sin embargo, se ha observado que los derechos humanos corren un riesgo considerable. Por ejemplo, en el ámbito de la salud, la inteligencia artificial puede realizar diagnósticos y predicción de riesgos, prescripción de tratamientos, cirugía robótica, asistencia médica remota, procesamiento de imágenes, mapas sanitarios, control de transmisión de enfermedades, etc. Sin embargo, existen riesgos claros en términos de impactar el derecho a la integridad personal, el procesamiento de datos personales altamente sensibles, la autonomía del paciente, el consentimiento y el control humano sobre la toma de decisiones finales del sistema. En el ámbito de la seguridad civil, la Inteligencia Artificial puede resultar muy útil en identificación biométrica, registro de actividades, análisis de comportamiento, interceptación y análisis de comunicaciones, búsqueda de personas desaparecidas, etc. Sin embargo, se volvió a llamar la atención sobre los riesgos del uso indebido de datos personales, en particular la preocupación por la dependencia de sesgos discriminatorios en la inteligencia prospectiva con fines de vigilancia policial predictiva (1).

En el ámbito judicial, la inteligencia artificial facilita la sistematización y búsqueda de información jurídica útil para jueces, abogados y la sociedad en su conjunto, y permite predicciones basadas en decisiones judiciales que se han dictado y pueden ser reproducidas, pero no tiene capacidad de argumentación y garantiza imparcialidad, precisión y decisión adecuada, lo que la hace vulnerable a «resultados inexactos, discriminatorios, sesgos implícitos o inherentes«(2) Acelerar el acceso a la justicia no conducirá a una sociedad más justa si no se garantiza que las decisiones del sistema sean justas, correctas y ajustadas a derecho.

Considerando lo anterior, cada vez con más fuerza nos acercamos al consenso de la necesidad de crear unos marcos regulatorios para el desarrollo y uso de Inteligencias Artificiales de manera acorde con los Derechos Humanos y Fundamentales. En el mundo, cada vez más los Estados se alejan de los principios de “soft law” o leyes blandas que dejan a la ética de los desarrolladores el control sobre la Inteligencia Artificial y se acercan más a la creación de estándares legales que regulen la temática.

En términos del parlamento europeo el desarrollo de la inteligencia artificial comprende la cuarta revolución industrial, cuyo impacto acelerado en la tecnología ya implementada por la administración pública, el comercio electrónico, el sector servicios, entre otros, hace necesaria la regulación del proceso de transformación digital que está sufriendo la sociedad con énfasis en el pleno respeto de los derechos fundamentales y en el verdadero servicio a la humanidad; en efecto, para el 2030 se prevé que la inteligencia artificial contribuirá con más de 12 billones de dólares a la economía mundial, siendo la economía digital la puerta de entrada de nuevos productos y servicios que incrementará las alternativas que tienen los consumidores para satisfacer sus necesidades (3).

En ese orden de ideas, dado el riesgo de reducción de la intervención humana, el reemplazo de la autonomía humana, la pérdida de libertad individual, y la gran cantidad de datos personales que usan y fluyen a través de los sistemas de inteligencia artificial, se justifica la generación de herramientas que permitan el avance de la tecnología y el crecimiento de la economía de manera segura. Países como China desde hace una década viene destacando el uso de la inteligencia artificial en el mejoramiento de las capacidades militares y promueve las asociaciones internacionales de IA como una forma de exportar sus propias prácticas de vigilancia basadas en la IA, su sistema de puntuación ciudadana y sus estrategias de censura, de tal manera que su planteamiento está basado en el despliegue de la IA basadas en normas correspondientes con la ideología del gobierno. Tanto Estados Unidos como China has venido acelerando el uso de la IA en el sector público y en el sector privado, a tal punto que sus inversiones representan más del 80 % de las inversiones anuales de capital en IA y tecnología de cadena de bloques.

Resulta por tanto preciso regular la IA, fundamentalmente porque las empresas públicas y privadas la están usando para tomar decisiones que impactan la vida de las personas, las cuales generan unas responsabilidades que deben ser asumidas por tales empresas, siendo plausible el establecimiento de una legislación que le permita a las personas recurrir a las autoridades para garantizar sus derechos fundamentales. En el caso de Estados Unidos se han aprobado proyectos de ley para regular asuntos específicos de la inteligencia artificial como la tecnología de reconocimiento facial, y así mismo, la Casa Blanca publicó diez principios para la regulación de la inteligencia artificial.

No obstante, la iniciativa más ambiciosa la ha hecho la Unión Europea y se fundamenta en el riesgo que los sistemas de inteligencia artificial representan para las libertades individuales. Igualmente ha habido iniciativas multilaterales para desarrollar directrices y normas para un uso ético y responsable de la IA, como los principios de la OCDE sobre la IA que Colombia acogió conforme lo manifestó el Ministerio de las TIC. (4), la Alianza Mundial sobre la IA, la Recomendación sobre la ética de la IA de la Unesco que Colombia también adoptó según manifestó el Ministerio de las TIC (5), las recomendaciones del Consejo de Europa sobre un posible marco jurídico en materia de IA y las orientaciones políticas de UNICEF sobre la IA para los niños. Pero respecto a iniciativas de regulación sobre la materia tenemos otros países como Chile (Decreto 20 del 3 de diciembre de 2021 sobre la Política Nacional de Inteligencia Artificial), Argentina (Plan Nacional de IA de agosto de 2018), Uruguay (Ley de protección de datos de 2008, Art. 16), México (Ley Federal de Telecomunicaciones y Radiodifusión – 2014, Decreto Ejecutivo Nacional de Ventanilla Única – 2015, y el Decreto Ejecutivo sobre Datos Abiertos – 2015), Brasil (Decreto Ejecutivo N.° 9.854 del 25 de junio de 2019, Decreto Ejecutivo N.° 9.319, del 21 de marzo de 2018, Ley General de Protección de Datos Personales de Brasil, Ley de Derechos de Internet de Brasil – Marco Civil de Internet, Decreto No. 8.771 de 2016).

Tratándose de Colombia la inteligencia artificial ha tenido avances a partir del Documento CONPES 3975 del 8 de noviembre de 2019 que definió la inteligencia artificial como “un campo de la informática dedicado a resolver problemas cognitivos comúnmente asociados con la inteligencia humana o seres inteligentes, entendidos como aquellos que pueden adaptarse a situaciones cambiantes. Su base es el desarrollo de sistemas informáticos, la disponibilidad de datos y los algoritmos”; sin embargo, más allá de este documento su importancia no se ha visto reflejada en el desarrollo legislativo local, ni a nivel regional, comoquiera que no existe una legislación específicamente diseñada para regular el uso de la inteligencia artificial, sino que se ha implementado a partir de normativas existentes en materia de protección de datos, de protección de los consumidores y de competencia empresarial. Así mismo, la Unesco ha formulado recomendaciones de ética para el sector público y privado en materia de inteligencia artificial para la región, que Colombia acogió y se circunscriben la aplicación de principios éticos como: transparencia, explicación, privacidad, control humano de las decisiones, seguridad, responsabilidad, no discriminación, inclusión, prevalencia de los derechos de niños, niñas y adolescentes y beneficio social.

3.1. Experiencia internacional

La inteligencia artificial está generando debates de índole éticos y jurídicos muy interesantes en el ámbito internacional debido a los riesgos que genera su propia existencia, la necesidad de que avance con una regulación clara y la necesidad de que esta eventual regulación garantice un enfoque de derechos humanos. En la vanguardia de estos debates han estado la Unión Europea y Naciones Unidas quienes han contribuido a construir dos modelos internacionales de regulación con dos enfoques diferentes y complementarios.

La propuesta de las Naciones Unidas por medio de la UNESCO, en 2021, fijó el primer acuerdo internacional sobre la ética de la inteligencia artificial. Este acuerdo insiste en la estricta protección a los datos personales y el control de los mismos por las personas, en la estricta prohibición del uso de la Inteligencia Artificial para la clasificación social y la vigilancia masiva y también el acuerdo marca la necesidad de supervisar y evaluar la Inteligencia Artificial y sus impactos en las personas, la sociedad y el medio ambiente.

Estas recomendaciones recogen exigencias de índole ético para que sean acogidas por los distintos países que le apuesten a regular la materia en la Recomendación sobre la Ética de la Inteligencia Artificial. Sus objetivos por una parte son

(i) brindar un marco universal de valores, principios y acciones para orientar a los Estados en la formulación de leyes y políticas,

(ii) orientar a las personas que participan en los sistemas de Inteligencia Artificial en una perspectiva ética,

(iii) promover el respeto a los derechos humanos,

(iv) fomentar el diálogo multidisciplinario sobre cuestiones éticas de la inteligencia artificial y (v) impulsar el acceso equitativo sobre beneficios y avances de la inteligencia artificial.

La recomendación se divide entre valores (de un contenido más ideal), principios (de un contenido más concreto) y exigencias más concretas que se agrupan en un ámbito de acción política y aplicación:

– Hay cuatro valores que son

(i) el respeto, protección y promoción de los derechos humanos, libertades fundamentales y la dignidad humana,

(ii) prosperidad del medio ambiente y los ecosistemas,

(iii) garantizar la diversidad y la inclusión y

(iv) vivir en sociedades pacíficas justas e interconectadas.

– Los principios enunciados son

(i) el de proporcionalidad e inocuidad,

(ii) seguridad y protección,

(iii) equidad y no discriminación,

 (iv) sostenibilidad,

 (v) derecho a la intimidad y protección de datos,

(vi) supervisión y decisión humanas,

(vii) transparencia y explicabilidad,

(vii) responsabilidad y rendición de cuentas,

(viii) sensibilización y educación y

 (ix) gobernanza y colaboración adaptativas y de múltiples partes interesadas.

– Los ámbitos de acción política que se proponen en el proyecto son una forma en que la UNESCO propone materializar valores y principios y son once:

(i) Evaluación del impacto ético,

(ii) gobernanza y administración éticas,

(iii) política de datos,

(iv) desarrollo y cooperación internacional,

(v) medio ambiente y ecosistemas,

(vi) género,

(vii) cultura,

(viii) educación e investigación,

(ix) comunicación e información,

(x) economía y trabajo y

(xi) salud y bienestar social.

Es así que esta propuesta legislativa, recoge los principios y valores sugeridos por la UNESCO en esta propuesta de reglamentación. Por otro lado, dentro del contenido destacado de esta declaración está el reconocimiento de un enfoque de derechos amplio, promoviendo que todo desarrollo debe ser un avance para la humanidad, insistiendo en que no existan brechas en la seguridad y protección de las personas y sus datos, que haya una constante auditoría y supervisión, así como que haya transparencia sobre los algoritmos de Inteligencia Artificial cuando toman determinada decisión. De la misma manera, al reconocerse un ámbito amplio de acción política se describen acciones concomitantes que se deben tomar al momento de regular un fenómeno como el de la inteligencia artificial, por lo que la UNESCO hace un llamado a que, si bien un instrumento para reglamentar la inteligencia artificial es necesario, hay muchos temas con reglamentaciones propias que deben ser tenidas en cuenta.

También la Organización para la Cooperación y el Desarrollo Económicos -OCDE- ha fijado algunos parámetros para el desarrollo de la inteligencia artificial, entre otros son de resaltar las recomendaciones que dio la OCDE para los Gobiernos en América Latina y el Caribe. Señala la OCDE que los Gobiernos precisan desarrollar un enfoque responsable, fiable y centrado en el ser humano, que comprenda la ética de datos, garantice la imparcialidad y la atenuación del sesgo, contemple la transparencia y la explicabilidad de los algoritmos, impulse la seguridad y la protección, instituya mecanismos de rendición de cuentas, y aplique un enfoque inclusivo y orientado al usuario.

Lo anterior quiere decir que la Inteligencia Artificial debe centrarse en el ser humano, en el respeto a sus derechos, a la libertad, a la dignidad, a la justicia la no discriminación, a la protección de sus datos entre muchas otras medidas que protegen los derechos humanos y fundamentales.

Por otro lado, el impacto de la inteligencia artificial en los derechos humanos ha sido profundamente debatido en la Unión Europea en los últimos años, y este resultado se refleja en numerosos documentos del Grupo de Expertos de Alto Nivel sobre Inteligencia Artificial y en informes de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior. y Comisión de Asuntos Jurídicos, Fundación de Propuestas Parlamentarias y de Comisiones. En este camino se pueden distinguir dos fases, la primera con la prioridad de establecer un marco ético que complemente la legislación existente, y la segunda con la elección explícita de un marco legal innovador claramente concebido para la Inteligencia Artificial.

El marco legal en comento son dos reglamentos; El primero propone un marco regulatorio para la IA, traduciendo los principios éticos en obligaciones legales, ya que “los principios morales compartidos sólo son válidos si se basan en la ley” y los códigos de ética son un buen punto de partida, pero no garantizan que los desarrolladores, implementadores y usuarios actúen de manera justa o que las personas y sus derechos fundamentales estén protegidos de manera efectiva.

Dentro de este marco legal, el respeto a la dignidad humana, la autodeterminación humana, la prevención del daño, la equidad, la inclusión y la transparencia, la eliminación de la discriminación y los prejuicios, y como servicio técnico a las personas, la seguridad, transparencia y rendición de cuentas del sistema se convertirá en una obligación legal, ajustada a derecho y compatible con “todos los regímenes jurídicos aplicables”, en particular el Derecho internacional humanitario y el Derecho internacional de los derechos humanos, y por supuestos que sea conforme a la legislación, los principios y los valores de la Unión.

El segundo reglamento propone el establecimiento de un régimen de responsabilidad civil, objetiva y subjetiva, con el propósito de que pueda ser reclamado cualquier daño, moral, material e inmaterial, derivado del uso de la Inteligencia Artificial, incluyendo los derivados de “las violaciones de derechos importantes, jurídicamente protegidos, a la vida, la salud, la integridad física y la propiedad” (6).

Es así que el Parlamento Europeo se encuentra discutiendo el primer reglamento sobre inteligencia artificial para constituir la ley de Inteligencia Artificial de la  Unión Europea. Señala la nota de prensa del portal de Noticias del Parlamento Europeo que “Como parte de su estrategia digital, la UE quiere regular la inteligencia artificial (IA) para garantizar mejores condiciones para el desarrollo y uso de esta tecnología innovadora”(7). El último avance se produjo el 14 de junio de 2023, los eurodiputados adoptaron la posición de negociación del Parlamento sobre la Ley de IA. Ahora comenzarán las conversaciones con los países de la Unión Europea en el Consejo sobre la forma final para la aprobación de la ley.

3.2 El uso de Inteligencias Artificiales por parte del Estado en Colombia

En los últimos meses, desde la oficina del Representante Alirio Uribe se han presentado solicitudes de información a diferentes entidades del Estado para conocer sobre el uso de inteligencias artificiales en el sector público. En respuesta a estas peticiones, se encontró que efectivamente en el Sector se vienen usando o investigando el uso de inteligencias artificiales para el desempeño de tareas en el sector, quedando la preocupación de que, a la fecha, no existe un marco regulatorio claro que oriente a las entidades sobre los límites para el uso e implementación de estas tecnologías.

Es así como la Fiscalía General de la Nación en respuesta a petición (8) informó que no “ha incorporado desarrollos o funcionalidades que contemplen componentes de automatización robótica de procesos, ni clasificación y/o toma de decisiones con componentes de inteligencia artificial”. Sin embargo, esta entidad si indicó que en el Marco de un proceso Investigación, Desarrollo e Innovación (I+D+i), la Subdirección de Políticas Públicas y Estrategia Institucional de la entidad en conjunto con el Ministerio de Tecnologías de la Información y las Comunicaciones, adelantaron de manera experimental, un ejercicio de cocreación denominado «Inteligencia artificial para el reparto automático de procesos penales y de extinción de dominio» que tuvo como objetivo general el de “Articular la política de priorización de la entidad y la decisión del reparto inicial de casos, desarrollando un algoritmo de inteligencia artificial para la clasificación automática de los casos.

Este contaba con un criterio de aceptación de aplicación integral de criterios de priorización, análisis completo de las características de los casos y de los fiscales y capacidad de predicción de la probabilidad de éxito de los casos que se registran en el sistema SPOA de la entidad». Aunque los resultados fueron satisfactorios informa la Fiscalía que su propósito no era la puesta en marcha de esta tecnología sino simplemente su validación, dejando su implementación para un largo plazo según la normativa vigente para su aplicabilidad, las capacidades técnicas, tecnológicas y de recurso humano disponibles. Cabe destacar que la Fiscalía General de la Nación informó que actualmente, no existen directrices administrativas para el uso de inteligencias artificiales al interior de las fiscalías delegadas.

Por su parte, el Departamento Nacional de Planeación, en respuesta a petición radicada ante esa entidad (9), admite que la unidad de científicos de Datos –UCD-como dependencia de la entidad incorporan elementos de automatización de información para la analítica de datos. “Estos proyectos se sitúan en la fase intermedia entre la creación de modelos predictivos y la adaptación de datos para procesos específicos, con el propósito de proporcionar insumos esenciales para la toma de decisiones en política pública”(10). La entidad reconoce que estos modelos son de caracter “predictivo” para la adaptación de datos que busca crear insumos para la toma de decisiones en política pública. Las IA en comento son llamadas «Proyecto de Mejora Regulatoria – Diario Oficial» y el «WebScraping de Prácticas de Consulta Pública». El proyecto de mejora del Diario Oficial clasifica la información en diez sectores económicos. Por su parte el WebScraping realiza la extracción automatizada de información de las páginas gubernamentales bajo el dominio «gov.co», con el objetivo de recolectar los datos relativos a los procesos de consulta pública.

El DNP también suministra un enlace que da cuenta de las inteligencias artificiales usadas por la entidad para la analítica de datos. El consultar el link (11) es sorprendente la cantidad de Inteligencias Artificiales que utiliza esta entidad, aunque no discrimina si dichas herramientas tecnológicas son IAs o solamente sistemas de organización y automatización de información. Los sistemas reportados por el DNP son:

1. Herramienta para el análisis y evaluación de bases de datos del portal de datos abiertos-LEILA.

2. Identificación de redundancias en espacios de participación ciudadana.

3. Análisis de propuestas para las mesas de conversación nacional.

4. Clasificación de documentos del diario oficial mediante análisis de texto –actualización.

5. Caracterización de las compras públicas colombianas.

6. Tablero de control para el manejo de PQRSD.

7. Análisis de presencia en diarios de los últimos 5 gobiernos.

8. Tablero de control COVID-19.

9. Piloto de predicción del delito en Bucaramanga.

10.Indicadores agregados de vulnerabilidad municipal ante emergencia por COVID 19.

11.Índice de riesgo de calidad de agua para el consumo humano.

12.Comparación de la evolución y gestión del covid-19 en diferentes países.

13.Tablero de visualización de indicadores TIC.

14.Brecha de género en honorarios de contratistas del DNP.

15. Identificación y Análisis de palabras clave asociadas a documentos CONPES por periodo de Gobierno.

16.Similitudes en competencias de entidades públicas mediante análisis de texto.

17.Rastreo de proyectos de inversión relacionados con el cambio climático.

18.Articulación De los planes de desarrollo territorial 2020 – 2023 con los objetivos de desarrollo sostenible y el plan nacional de desarrollo 2018 – 2022.

19.Buzón de Ingreso Solidario.

20.Identificación de uso de proyectos tipo con similitud de texto.

21.Identificación de la demanda de evaluaciones de la conformidad y pruebas de laboratorios según estándares obligatorios vigentes.

22.Detección y análisis de sectores económicos con percepción de competencia desleal.

23.Análisis descriptivo de tweets de los equipos de respuesta ante emergencias informáticas.

24.Identificación de la inclusión de la política nacional para la reincorporación social y económica en los planes de desarrollo municipales.

25.Análisis de documentos de gasto público.

26.Estudio de comparación del CONPES de reactivación económica con los planes de desarrollo territorial (PDT) 2020 – 2023.

27.Análisis de términos y frases relacionados con temas de género en los planes de desarrollo territorial 2020 – 2023.

28.Análisis exploratorio y descriptivo de los PDT costeros y alineamiento con el CONPES 3990

29.Visor de entidades judiciales a nivel nacional.

30.Gestión de Bases de Datos de Ingreso Solidario.

Llama la atención que, al revisar los informes de estos sistemas de analítica de datos, dentro de sus objetivos varios están dirigidos a “evaluar” el asunto para el que fueron diseñados o para “generar” Bags of words, “identificar y caracterizar” grupos de propuestas, “clasificar” normas, entre otros. Lo que da a pensar que se trata de inteligencias artificiales toda vez que el proceso tecnológico toma decisiones respecto de la información que clasifica. Pero lo más preocupante de todo en esta entidad en la materia, es que adelantaron a través de una inteligencia artificial un piloto de predicción del delito en la ciudad de Bucaramanga, mediante el entrenamiento de modelos espacio- temporales de aprendizaje de máquina (machine learning) para predecir la ocurrencia de delitos (12), cuyo informe no da cuenta de las precauciones tomadas por las entidades para evitar afectaciones a derechos humanos. Sobre la revisión humana de las decisiones, informa el DNP que estas tecnologías son módulos intermedios, lo que se traduce en que no dan decisiones automáticas, sino que dichas decisiones son validadas por los expertos temáticos para ser incluida en algún proceso de toma de decisiones. Sin embargo, el DNP no explica cómo es este proceso de validación. También preocupa que manejan unas inteligencias artificiales que usan modelos de «caja negra» las cuales presentan ciertas limitaciones en cuanto a la trazabilidad de las fuentes que derivan a una conclusión.

Por su parte, la Corte Constitucional informa (13) que cuenta con una Inteligencia Artificial denominada Pretoria para la revisión de tutelas. Dastaca la Corte que la IA “genera gráficos estadísticos y mapas de calor sobre las consultas realizadas». Es importante destacar que Pretoria no selecciona ni prioriza casos, pero sí contribuye a la identificación de patrones, a identificar casos novedosos y a tener un panorama general de las tutelas” pero que en ningún caso o reemplaza el análisis individual de cada tutela que está a cargo de personas naturales, sean sjudicantes y auxiliares judiciales.

Respecto del uso de Inteligencias artificiales, indica el Consejo Superior de la Judicatura que “actualmente no se implementan iniciativas relacionadas con inteligencia artificial o inteligencia artificial generativa” (14), empero, indica que actualmente se encuentran desarrollando lineamientos arquitectura digital de la Rama Judicial que podrían eventualmente considerar el uso de inteligencias artificiales.

En el mismo sentido, la Registraduría Nacional del Estado Civil informó que esa entidad no está haciendo uso de ninguna inteligencia artificial15. Sin embargo, si usan un sistema de identificación y autenticación de los colombianos. La tecnología que se utiliza se llama sistema automatizado ABIS (Automated Biometric Identification System) de identificación biométrica que reposa sobre una solución Morphocivis con sistema de cotejo motor Multibiométrico (facial y dactilar) MorphoBSS «MorphoBiometricSearchServices» (MB§S) que hace el proceso de identificación a partir de las biometrías de las personas haciendo uso del sistema de cotejo motor Multibiométrico (facial y dactilar). Indica que este sistema de información y bases de datos de referencia son consultadas por entidades del estado y sectores productivos del país, que en los parámetros de la Ley 1753 de 2015.

En conclusión, el Estado Colombiano si viene usando Inteligencias Artificiales sin el control debido que deberían tener para garantizar la no afectación de derechos humanos y fundamentales. En estas respuestas incluso se ven imprecisiones por parte de las entidades, quienes cuentan con sistemas de información que posiblemente son inteligencias artificiales, pero no las consideran como tal, por ejemplo, toda la tecnología machine learning con las que cuentan. Estas respuestas justifican la conveniencia de este proyecto de ley para regular la materia y estandarizar el uso y desarrollo de las mencionadas inteligencias artificiales.

4. CONTENIDO DEL PROYECTO

Para efectos del presente proyecto, se define la inteligencia artificial como un “Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje”. A partir de allí, se pretende generar un marco normativo basado en los siguientes deberes:

* Prohibir las tecnologías que violan derechos fundamentales, como la vigilancia masiva biométrica o los sistemas de policía predictiva, sin que se incluyan excepciones que permitan que las empresas o a las autoridades públicas las empleen «bajo ciertas condiciones».

* Establecer la información que las empresas tienen que hacer pública acerca de sus productos, como los datos que utiliza, el proceso de desarrollo, la finalidad del sistema y dónde y quién lo utiliza.

* Establecer un marco para que las personas puedan determinar responsabilidades en cabeza de las entidades públicas y privadas en caso de que se presenten problemas, comoquiera que las decisiones son tomadas por un algoritmo y no por el usuario.

* Garantizar la existencia de una autoridad de vigilancia y control, con autonomía presupuestal y administrativa, que verifique el cumplimiento de las normas por parte de las entidades públicas y privadas.

* Establecer un sistema que permita que las personas que se han visto perjudicadas por sistemas de inteligencia artificial puedan ejercer su derecho de defensa para garantizar sus derechos.

Considerando que Colombia suscribió la recomendación para la implementación de la Inteligencia Artificial del Consejo de Inteligencia Artificial (16) y adoptó la recomendación sobre la ética de la IA de la Unesco (17), se tiene que los principios establecidos por tales instrumentos fueron incorporados en el articulado con el fin de materializarlos en virtud de la normatividad que se pretende integrar al ordenamiento jurídico colombiano por medio de esta iniciativa; lo anterior, es concordante con lo planteado por el parlamento europeo que ha sugerido que la legislación digital debe basarse en principios y con un enfoque basado en el riesgo y en el respeto de los derechos fundamentales.

La regulación de la inteligencia artificial que se planeta está basada en colocar al ser humano en el centro y a los derechos fundamentales como límite material y formal al desarrollo, uso e implementación de estos sistemas, de manera que el desarrollo tecnológico permita a las entidades públicas ser más eficientes y a las privadas más competitivas, en un marco seguro y sujeto a consideraciones éticas y humanas, y sin que represente cargas administrativas innecesarias para las pymes y las empresas emergentes, pues procura la adaptación, aplicación y ejecución de la legislación vigente sobre protección de datos personales.

El proyecto está dividido en cinco títulos y contiene 24 artículos además de la vigencia, los cuales se describen a continuación:

El Título I hace referencia al objeto, ámbito de aplicación, definiciones y principios rectores del Proyecto de Ley Estatutaria por medio de la cual se define y regula la Inteligencia Artificial, se establecen límites frente a su desarrollo, uso e implementación y se dictan otras disposiciones.

Determinar el objeto y el ámbito de aplicación tiene como finalidad definir el propósito concreto de la regulación para que quede plenamente identificado el carácter no absoluto de esta y los eventos en los cuales se considera el desarrollo, uso e implementación de la IA. Así mismo, se incluye un artículo de definiciones que permite entender las prescripciones establecidas en el proyecto de ley, y otro artículo que contiene los principios que irradian la normatividad y sirvieron de fundamento para su construcción.

El Título II contiene las denominadas CONDICIONES PARA EL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL y hace referencia a los límites concretos a partir de los cuales se pueden desarrollar, usar e implementar los sistemas de inteligencia artificial. En ese sentido, establece los riesgos que comporta el uso e implementación de la IA y desarrolla requisitos y exigencias que condicionan la existencia de estos sistemas computacionales; igualmente, se establecen de manera no taxativa una serie de actividades proscritas del uso e implementación de la IA.

El Título III denominado INSPECCIÓN, CONTROL Y VIGILANCIA EN MATERIA DE INTELIGENCIA ARTIFICIAL define la autoridad encargada de garantizar el respeto de los principios y derechos humanos que puedan verse afectados con ocasión del desarrollo, uso e implementación de los sistemas de inteligencia artificial.

Igualmente se establecen herramientas que le permiten ejercer a la autoridad la inspección, control y vigilancia de manera eficiente, así como también, se prevé lo concerniente al procedimiento y sanciones frente a la transgresión de la ley.

El Título IV contiene MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL al establecer responsabilidades a cargo del gobierno nacional para la

difusión de la información relacionada con el desarrollo, uso e implementación de la inteligencia artificial, así como sus implicaciones y riesgos.

El Título IV denominado OTRAS DISPOSICIONES contiene un régimen de transición para que las entidades públicas y privadas puedan adecuarse a las disposiciones contenidas en la ley, y el gobierno nacional pueda expedir las reglamentación correspondiente y necesaria para garantizar la aplicación de la normatividad.

4. TRÁMITE

El artículo 207 de la Ley 5° de 1992 determina las materias que se tramitan como proyectos de ley estatutaria, a saber:

1. Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección.

2. Administración de justicia. 3. Organización y régimen de los partidos y movimientos políticos.

4. Estatuto de la oposición y funciones electorales, reglamentando la participación de las minorías (art. 112 inc. 3 constitucional).

5. Instituciones y mecanismos de participación ciudadana.

6. Estados de excepción, regulando las facultades que de ellos se originan (art. 214 ord. 2 constitucional).

En ese orden de ideas y considerando que la materia objeto del proyecto involucra tratamiento de datos personales y derechos fundamentales, este se debe tramitar de acuerdo a las reglas de una Ley Estatutaria.

Por las consideraciones anteriormente expuestas, se presenta a consideración del Honorable Congreso de la República el proyecto de ley estatutaria por medio de la cual se define y regula la Inteligencia Artificial, se establecen límites frente a su desarrollo, uso e implementación y se dictan otras disposiciones, con el fin de adoptar las decisiones legislativas y políticas que garanticen el desarrollo, uso e implementación de la Inteligencia Artificial en Colombia, dentro de un marco seguro y respetuoso para los derechos fundamentales.

5. CONFLICTO DE INTERESES

De acuerdo con el artículo 291 de la Ley 5a de 1992 -Reglamento Interno del Congreso- modificado por el artículo 3° de la Ley 2003 de 2019, establece que: “el autor del proyecto y el ponente presentarán en el cuerpo de la exposición de motivos un acápite que describa las circunstancias o eventos que podrían generar un conflicto de interés para la discusión y votación del proyecto, de acuerdo con el artículo 286. Estos serán criterios guías para que los otros congresistas tomen una decisión en torno a si se encuentran en una causal de impedimento, no obstante, otras causales que el Congresista pueda encontrar”.

De igual manera, el artículo 286 de la norma en comento, modificado por el artículo 1° de la Ley 2003 de 2019, define el conflicto de interés como la “situación donde la discusión o votación de un proyecto de ley o acto legislativo o artículo, pueda resultar en un beneficio particular, actual y directo a favor del congresista”.

Con base en lo anterior y, de acuerdo al carácter abstracto e impersonal de la norma, tenemos que en esta iniciativa legislativa no se evidencia que los congresistas puedan incurrir en posibles conflictos de interés, toda vez que tampoco puede predicarse un beneficio particular, actual y directo que les impida participar de la discusión y votación de este proyecto. Lo anterior, sin perjuicio del deber de los congresistas de examinar, en cada caso en concreto, la existencia de posibles hechos generadores de conflictos de interés, en cuyo evento deberán declararlos de conformidad con lo dispuesto en el inciso 1° del artículo 286 ibídem:

“Todos los congresistas deberán declarar los conflictos de intereses que pudieran surgir en ejercicio de sus funciones”.

6. IMPACTO FISCAL

Sobre el impacto fiscal de los proyectos de ley, indica la Ley 819 de 2003 “Por la cual se dictan normas orgánicas en materia de presupuesto, responsabilidad y transparencia fiscal y se dictan otras disposiciones”, en su artículo séptimo señala que “el impacto fiscal de cualquier proyecto de ley, ordenanza o acuerdo, que ordene gasto o que otorgue beneficios tributarios, deberá hacerse explícito y deberá ser compatible con el Marco Fiscal de Mediano Plazo. Para estos propósitos, deberá incluirse expresamente en la exposición de motivos y en las ponencias de trámite respectivas los costos fiscales de la iniciativa y la fuente de ingreso adicional generada para el financiamiento de dicho costo”, por lo que, en cumplimiento de dicho requisito, en este apartado se explica los motivos por los que la iniciativa no cuenta con ningún tipo de impacto fiscal.

Sobre el valor de los costos, se aclara que con este proyecto de ley no se está incurriendo en gastos adicionales para el Estado, toda vez que impone obligaciones a las entidades existentes, pero ninguna de ellas implica la creación de nuevas dependencias ni la imposición de gastos adicionales. Adicionalmente, refiere unos valores y principios que deben observar las entidades públicas y privadas para el desarrollo de inteligencias artificiales, pero no les impone tarifas contractuales ni requisitos económicos adicionales para su uso y desarrollo. Por otro lado, la Corte Constitucional en las sentencias C-502 de 2007 y C-490 de 2011 sentencias en las que el alto tribunal ha señalado que el impacto fiscal no puede ser, en ningún caso, un obstáculo insuperable para el desarrollo de las propuestas legislativas, ni es necesariamente un requisito de trámite para la aprobación de los proyectos, así como tampoco puede constituirse en una barrera para ejercer las funciones legislativas de los congresistas.

7. PLIEGO DE MODIFICACIONES

VERSIÓN RADICADAPONENCIA PARA PRIMER DEBATE
ARTÍCULO 1. OBJETO.  La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.ARTÍCULO 1. OBJETO.  La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como para regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.
Justificación: Se ajusta la redacción del artículo 
ARTÍCULO 2. ÁMBITO DE APLICACIÓN. Las disposiciones de esta ley son aplicables a la inteligencia artificial de las personas naturales o jurídicas, proveedores nacionales y extranjeros, salvo regulación especial. Los principios y disposiciones contenidos en la presente ley serán aplicables a: a. Los Productores que desarrollen inteligencia artificial y/u ofrezcan la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia artificial produce efectos en el territorio colombiano. b. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano.ARTÍCULO 2. ÁMBITO DE APLICACIÓN. Las disposiciones de esta ley son aplicables al diseño, innovación, aplicación, uso y desarrollo de la inteligencia artificial por parte de personas naturales o jurídicas, así como a los a la inteligencia artificial de las personas naturales o jurídicas, proveedores, productores o demás agentes que participen en el desarrollo de la inteligencia artificial nacionales y extranjeros, salvo regulación especial, de la inteligencia artificial por parte de personas naturales o jurídicas., salvo en los casos donde resulte aplicable una regulación especial. Los principios y disposiciones contenidos en la presente ley serán aplicables a: a. Los Productores que desarrollen inteligencia artificial y/u ofrezcan o comercialicen la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia  
c. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano. Esta regulación no aplicará a la inteligencia artificial que: a. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico. En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo establecidas para regular la investigación con seres vivos. b. Sea empleada por usuarios persona natural no comerciante en el marco de actividades de índole personal y no profesionales o que afecten a terceros.artificial produce efectos en el territorio colombiano. b. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano. c. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano. Esta regulación La regulación contenida en esta Ley Estatutaria no aplicará a la inteligencia artificial que: a. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico. En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo
Justificación: Se ajusta la redacción del primer inciso del artículo para que sea más claro el ámbito de aplicación de la ley y se adiciona una disposición especial para el desarrollo de proyectos de inteligencia artificial por parte de instituciones educativas. Además, se realizan ajustes de forma. 
ARTÍCULO 3. DEFINICIONES. Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones: Dato personal: Cualquier información asociada a una o varias personas naturales determinadas o determinables que permita desarrollar algoritmos y crear programas informáticos. Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produzca, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario. Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario. Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, queARTÍCULO 3. DEFINICIONES. Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones: Dato personal: Cualquier información vinculada o que pueda asociarse asociada a una o varias personas naturales determinadas o determinables que permita desarrollar algoritmos y crear programas informáticos. Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produce produzca, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario. Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario.
emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales. Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y  organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento, para el desarrollo, uso o implementación de sistemas de inteligencia artificial. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos destinados al desarrollo, uso o implementación de sistemas de inteligencia artificial. PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnológicas de la Información y Comunicaciones de Colombia, garantizando la participación ciudadana.  Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, que emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales. Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento., para el desarrollo, uso o implementación de sistemas de inteligencia artificial. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales. destinados al desarrollo, uso o implementación de sistemas de inteligencia artificial. PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnologías Tecnológicas de la Información y Comunicaciones de Colombia, garantizando de esta manera la participación ciudadana y su actualización periódica.
Justificación: Se ajustan las definiciones de dato personal, productor de inteligencia artificial, encargado del tratamiento, y responsable del tratamiento, teniendo en cuenta las sugerencias recibidas en la audiencia pública. Además, se ajusta el parágrafo para enfatizar la importancia de la actualización. 
ARTÍCULO 4. PRINCIPIOS. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios: Principio de respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales. Principio de bienestar integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos. Principio de responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables. Principio de supervisión y prevalencia de la inteligencia humana: Se preferirá laARTÍCULO 4. PRINCIPIOS. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios: Principio de Respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales. Principio de Bienestar Integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al  mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos. Principio de Responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables. Principio de Supervisión y Prevalencia de la Inteligencia
decisión humana respecto de los resultados derivados de la Inteligencia Artificial. Toda decisión tomada por las inteligencias artificiales será susceptible de revisión humana y será responsabilidad ética y legal de personas naturales y jurídicas. Principio de privacidad y confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas. Principio de seguridad y protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad. Principio de desarrollo sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales. Principio de inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de este, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual. Principio de proporcionalidad o inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos.Humana: Se preferirá la decisión humana respecto de los resultados derivados de la Inteligencia Artificial. Toda decisión tomada por con base en los resultados de sistemas de inteligencia artificial las inteligencias artificiales será susceptible de revisión humana y. La responsabilidad ética y legal de estas decisiones recaerá sobre las personas naturales o jurídicas involucradas en su uso. será responsabilidad ética y legal de personas naturales y jurídicas. Principio de Privacidad y  Confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas. Principio de Seguridad y Protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad. Principio de Desarrollo Sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales. Principio de Inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de éste, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual. Principio de Proporcionalidad o Inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice
Principio de transparencia y explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión. Principio de responsabilidad y rendición de cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e  implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables. Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible. Principio de confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el medio ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos. Principio de Transparencia y Explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión. Principio de Responsabilidad y Rendición de Cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables. Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible. Principio de Confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.
PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.
Justificación: Se realizan ajustes de forma al principios y se ajusta la redacción del Principio de Supervisión y Prevalencia de la Inteligencia Humana 
ARTICULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores: Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso la inteligencia artificial. Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar entre si a las personas ni promover la violencia.ARTÍCULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores: Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso de la inteligencia artificial. Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar
Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto,  ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, genero edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales. Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.  entre si a las personas ni promover la violencia. Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto,  ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, genero género, edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales. Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.
Justificación: Se realizan ajustes de redacción. 
ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el riesgo por los  ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el
productores y proveedores de la siguiente manera: Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito. Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales. Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales. Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios. PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley. PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptableriesgo por los productores y proveedores de la siguiente manera: Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito. Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales. Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales. Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios. PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley. PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable , alto riesgo, riesgo limitado y riesgo nulo. El reglamento deberá contar con actualización periódica de los sistemas o programas teniendo en cuenta los avances de este tipo de tecnologías y también el tipo de industria o sector que provea o use estos sistemas.
Justificación: Se adicionan criterios a tener en cuenta en la reglamentación, frente a la solicitud realizada por semillero de la Universidad de los Andes, de Asociación Latinoamericana de Internet (ALAI) y La Cámara Colombiana de Informática y Telecomunicaciones, en el marco de la Audiencia Pública. 
ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL. Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar, cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL. Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar, cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.
Justificación: Se realiza un ajuste de redacción en el parágrafo. 
ARTÍCULO 8. AFECTACIONES DERIVADAS DE LA INTELIGENCIA ARTIFICIAL. Las personas que resulten afectadas en sus derechos fundamentales con ocasión del uso e implementación de sistemas de inteligencia artificial podrán solicitar la revisión por parte de la autoridad competente, presentar reclamaciones y solicitudes de revocatoria ante la  autoridad competente y solicitar medidas cautelares así como para prevenir mayores afectaciones.Sin ajustes
ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios: a. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial. b. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales. c. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadasARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios: d. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial. e. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales. f. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades públicas y/o privadas que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas.
Justificación: Se ajusta el parágrafo 1 para que sea más claro. 
ARTÍCULO 10. CONSENTIMIENTO INFORMADO. En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales. PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta. PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial. PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.ARTÍCULO 10. CONSENTIMIENTO INFORMADO. En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales. PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta. PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial que eventualmente pueda ser declarada por parte de un juez. PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.
Justificación: Se modifica el parágrafo 2 del artículo para hacer claridad frente a la responsabilidad legal. 
ARTÍCULO 11. ALFABETIZACIÓN DIGITAL. El Ministerio de Educación Nacional formulará, dentro de los seis meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de entregar insumos necesarios a los jóvenes para el uso de las inteligencias artificiales.ARTÍCULO 11. ALFABETIZACIÓN DIGITAL. El Ministerio de Educación Nacional en coordinación con el Ministerio de tecnologías de la información y las comunicaciones formularán, dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de formar integralmente entregar insumos necesarios a los jóvenes en para el uso responsable y  productivo de sistemas de las inteligencias artificiales.  
Justificación: Teniendo en cuenta las competencia del Ministerio de Tecnologías de la información y las comunicaciones frente al uso de la Inteligencia Artificial en el país, se agrega como competente para apoyar al Ministerio de Educación Nacional en la estrategía de Alfabetización Digital en programas de IA. 
ARTÍCULO 12. GARANTÍA DE ESTABILIDAD LABORAL. Las empresas públicas o privadas que con ocasión del uso e implementación de los sistemas de inteligencia artificial supriman puestos de trabajo, deberán ubicar al trabajador desfavorecido en un puesto de trabajo de iguales o superiores condiciones por un término igual al del contrato laboral que se encuentre vigente al momento de la supresión del puesto de trabajo; una vez vencido, el empleador podrá gestionar la desvinculación del trabajador, conforme a la legislación laboral vigente. PARÁGRAFO. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.ARTÍCULO 12. GARANTÍA DE ESTABILIDAD SEGURIDAD LABORAL A MEDIANO Y LARGO PLAZO. Las empresas públicas o privadas que con ocasión del uso e implementación de los sistemas de inteligencia artificial supriman puestos de trabajo, deberán ubicar al trabajador desfavorecido en un puesto de trabajo de iguales o superiores condiciones por un término igual al del contrato laboral que se encuentre vigente al momento de la supresión del puesto de trabajo; una vez vencido, el empleador podrá gestionar la desvinculación del trabajador, conforme a la legislación laboral vigente. Las empresas públicas o privadas que tomen la decisión de suprimir puestos de trabajo con ocasión del uso e implementación de sistemas de inteligencia artificial tendrán la obligación de: Informar a los empleados afectados sobre la eventual supresión de su puesto de trabajo, con una antelación no inferior a seis (6) meses previos a la fecha en que se prevé la supresión de los puestos. Desarrollar planes de reconversión laboral y capacitación en nuevas formas de trabajo, al menos durante los seis (6) meses previos a la fecha en que se prevé la supresión de los puestos. Los trabajadores cuyo puesto de trabajo sea suprimido con ocasión del uso e implementación de sistemas de inteligencia artificial ingresarán a la ruta de empleabilidad de la Unidad del Servicio Público de Empleo. Parágrafo 1. El Ministerio del Trabajo integrará al mecanismo de protección al cesante, el seguro de desempleo por automatización y una forma de continuidad en la cotización de la seguridad social de los trabajadores afectados. Parágrafo 2. El empleador deberá solicitar autorización al Ministerio del Trabajo cuando se trate de despidos colectivos, de conformidad con la normatividad vigente. Parágrafo 3. En las empresas donde exista organización sindical, se socializará con estos de manera previa la implementación y el uso de sistemas de inteligencia artificial y la ruta para la protección del empleo y derechos laborales, permitiendo que presenten observaciones al respecto. Parágrafo 4. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.
Justificación: Se modifica la totalidad del artículo 12 de la iniciativa legislativa, con la finalidad de establecer de manera clara y detallada en una nueva redacción laboral por la implementación de los Sistemas de Inteligencia Artificial. 
ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades: 1. Manipulación del comportamiento 2. Explotación de la vulnerabilidad de grupos o personas 3. Calificación de perfiles para el otorgamiento de créditos 4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles, ubicación o comportamientos pasados 5. Manipulación de emociones 6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial 7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial 8. Identificación biométrica para persecución de delitos graves sin autorización judicialARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades: 1. Manipulación del comportamiento. 2. Explotación de la vulnerabilidad de grupos o personas. 3. Imposición de barreras de acceso o la exclusión de personas mediante la Ccalificación de perfiles para el otorgamiento de créditos. 4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles demográficos, étnicos o socioeconómicos, la ubicación o comportamientos pasados. 5. Manipulación de emociones, instintos y razones de decisión. 6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial. 7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial.
9. Categorización biométrica basada en género, raza, etnia, etc. 10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales 11. Influencia en votantes y resultados de procesos electorales 12. Definición de sentencias y decisiones judiciales. 13. Limitar la libertad de expresión 14. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos8. Identificación biométrica para persecución de delitos graves sin autorización judicial. 9. Categorización biométrica basada en género, raza, etnia, etc. 10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales. 11. Influencia en votantes y resultados de procesos electorales. 12. La Definición de sentencias y decisiones judiciales o la generación de análisis normativos que configuren un reemplazo del ejercicio de la función jurisdiccional en cabeza de los jueces. 13. Limitar la libertad de expresión. 14. El diseño, fabricación, producción y comercialización de armas y sistemas de armas con autonomía para realizar ataques o ejercer violencia sobre personas y bienes, sin una supervisión humana efectiva y eficiente. 154. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos.
Justificación: Se realizan los ajustes teniendo en cuenta la solicitud de José Armando Ordóñez de la ICESI y la Universidad Pontificia Bolivariana en el marco de la Audiencia Pública. Además, se toman en cuenta las disposiciones de la sentencia T-323 de 2024 de la Corte Constitucional. 
ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL. En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las empresas públicas o privadas personales naturales o jurídicas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales riesgos peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.  ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL. En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las empresas públicas o privadas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.
Justificación: Se realizan los ajustes al presente artículo teniendo en cuenta las sugerencias de la Universidad Pontificia Bolivariana y la Superintendencia de Industria y Comercio en el marco de la Audiencia Pública. 
ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL. En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL. En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con el Ministerio de Ambiente y Desarrollo Sostenible la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.
Justificación: Se realizan los ajustes al presente artículo teniendo en cuenta la sugerencia de la Superintendencia de Industria y Comercio en el marco de la Audiencia Pública. 
ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así: Artículo 19. autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley. Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial, así como la administración de la Plataforma de Certificación de Sistemas de Inteligencia Artificial.ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así: Artículo 19.Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley. Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial., así como la administración de la Plataforma de Certificación de Sistemas de Inteligencia Artificial.
Justificación: Se ajustan las competencias de la Superintendencia de Industria y Comercio, teniendo en cuenta que la administración de dicha plataforma estará a cargo del Ministerio de Tecnologías de la Información y las Comunicaciones. 
ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así: ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes: (…) 31. Velar por el cumplimiento de la legislación en materia de inteligencia artificial; 32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial; 33. Administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento. 34. Las demás que le sean asignadas en la ley.ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así: ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes: (…) 31. Velar por el cumplimiento de la legislación en materia de inteligencia artificial Desarrollar los lineamientos de política pública necesarios para reglamentar y velar por el cumplimiento de la legislación en materia de inteligencia artificial; 32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial; 33. Crear y Administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento. 34. Las demás que le sean asignadas en la ley.
Justificación: Se realizan ajustes a la redacción de las funciones del Ministerio de Tecnologías de la Información y las Comunicaciones para que sean más claras. 
ARTÍCULO 18. AUDITORÍA DE ALGORITMOS. La Superintendencia de Industria y Comercio implementará procesos de auditoría de los sistemas de inteligencia artificial en proceso de certificación o aquellos que generen riesgos altos, para garantizar la protección de los derechos de los usuarios, sus datos personales de los usuarios y el cumplimiento de lo previsto en la presente ley.Sin modificaciones
ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la información y comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad. Los productores nacionales de inteligencia artificial deberán demostrar, como mínimo,  el cumplimiento de las obligaciones señaladas en la presente ley ante la Superintendencia de Industria y Comercio. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que se encuentra ajustado a los estándares de esta ley. PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial. En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la información y comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad. Los productores nacionales e internacionales que usen sistemas de inteligencia artificial en Colombia deberán rendir un informe anual ante la Superintendencia de Industria y Comercio en el que demuestran demostrar, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley. ante la Superintendencia de Industria y Comercio. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que se la actividad se encuentra ajustado a los estándares de esta Ley. PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial. En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.
Justificación: Se realizan ajustes de redacción y se modifica el segundo inciso del artículo teniendo en cuenta los comentarios del doctor José Armando Ordóñez de la ICESI en el marco de la Audiencia Pública. 
ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN. Las empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley.  ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN. Las empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley. En todo caso la Superintendencia de Industria y Comercio fijará los estándares y condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.
Justificación: Se ajusta el artículo y se establecen competencias de la Superintendencia de Industria y Comercio frente a la transferencia internacional de datos personales. 
ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES. La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES. La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.
Justificación: Se ajusta error de digitación 
ARTÍCULO 22. FORMACIÓN EN MATERIA DE INTELIGENCIA ARTIFICIAL. El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones adoptará medidas para que la sociedad conozca los beneficios, oportunidades, retos, implicaciones y riesgos para los derechos humanos y fundamentales del desarrollo, uso e implementación de la inteligencia artificial, especialmente a través de la formación de los servidores públicos sobre la materia, para ello promoverá descuentos en los cursos de extensión, diplomados, posgrados en materia tecnológica, dicho tema será reglamentado por el Gobierno Nacional en un plazo no menor a 6 meses.Sin modificaciones
ARTÍCULO 23. APRENDIZAJE DE LA INTELIGENCIA ARTIFICIAL. El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo de campañas sobre el uso responsable de la inteligencia artificial para los estudiantes de las instituciones públicas y privadas, así como se incentivará el desarrollo de cursos de formación en programación responsable.Sin modificaciones
ARTICULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO E IMPLEMENTACION DE LA INTELIGENCIA ARTIFICIAL: El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información. El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.ARTÍCULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL: El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información. El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.  
Justificación: Se ajusta el título del artículo para que sea acorde al contenido del mismo. 
ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN. Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN. Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses contados a partir de la expedición de la reglamentación que trata la presente ley, para adecuarse a dichas las disposiciones. contempladas en esta ley.
Justificación: Se ajusta el artículo para especificar a partir de qué momento inicia el régimen de transición, por sugerencia del Grupo de Transformación Digital de la Presidencia de la República. 
ARTÍCULO 26. REGLAMENTACIÓN. El Ministerio de Tecnologías de la información y las Comunicaciones en coordinación con el Ministerio de Ciencia, Tecnología e Innovación, el Ministerio de Industria, Comercio y Turismo reglamentará en un período no mayor de un (1) año a partir de la promulgación de esta ley, los lineamientos, criterios, condiciones y disposiciones técnicos y éticos para el desarrollo, uso y manejo de la Inteligencia Artificial en el contexto nacional. Dicha reglamentación deberá garantizar la protección de los Derechos Humanos y del medio ambiente, en concordancia con las recomendaciones internacionales proferidas sobre el desarrollo y manejo de la Inteligencia artificial, para asegurar la armonía entre el desarrollo tecnológico y el bienestar de la sociedad en general, estableciendo un equilibrio que promueva el desarrollo responsable y ético de la Inteligencia Artificial. PARÁGRAFO 1. Las autoridades anteriormente mencionadas en articulación con la Superintendencia de Industria y Comercio deberán establecer un plan de seguimiento, control, vigilancia y evaluación para el cumplimiento de la reglamentación acerca del manejo y uso de la Inteligencia Artificial en un término no mayor de (1) año a partir de la promulgación de esta ley. PARÁGRAFO 2. El Gobierno Nacional promoverá y fomentará la participación e inclusión ciudadana a través de las veedurías para asegurar la transparencia y seguridad en la gestión de la Inteligencia Artificial.Sin modificaciones
ARTICULO 27. COOPERACIÓN NACIONAL E INTERNACIONAL. El Gobierno Nacional promoverá la cooperación y colaboración de las diferentes entidades, empresas y organizaciones nacionales e internacionales en materia de investigación, sensibilización, innovación, gestión y manejo ético e integral para el avance responsable de la Inteligencia ArtificialSin modificaciones
ARTÍCULO 28. VIGENCIA Y DEROGACIONES. La presente ley rige a partir de su sanción y publicación en el Diario Oficial y deroga todas las disposiciones legales o reglamentarias que le sean contrarias.Sin modificaciones

8. PROPOSICIÓN

En virtud de las consideraciones anteriormente expuestas, solicitamos a los miembros de la Comisión Primera de la Cámara de Representantes dar primer debate al Proyecto de Ley Estatutaria No. 154 de 2024 Cámara “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones”, de acuerdo con el texto propuesto.

Atentamente,

KARYME COTES MARTÍNEZ,  Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente

ASTRID SÁNCHEZ MONTES DE OCA, Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA, Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente

(1) Parlamento Europeo, Considerandos de la Resolución de 6 de octubre de 2021, sobre la inteligencia artificial en el Derecho penal y su utilización por las autoridades policiales y judiciales en asuntos penales (2020/2016(INI)),

(2) Grupo de Trabajo UNESCO, Estudio preliminar sobre la ética de la Inteligencia Artificial, cit., n. 50. Vid. San Miguel Caso, C., “La aplicación de la Inteligencia Artificial en el proceso: ¿un nuevo reto para las garantías procesales?, Ius et Scientia vol. 7, no 1, 2021, pp. 286-303; De Asís Pulido, M., “La incidencia de las nuevas tecnologías en el derecho al debido proceso”, Ius et Scientia vol. 6, no 2, 2020, pp. 186-199

(3) PARLAMENTO EUROPEO, Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital, Disponible en: https://www.europarl.europa.eu/doceo/document/TA-9-2022-0140_ES.pdf

(4) REPÚBLICA DE COLOMBIA, MINISTERIO DE LAS TIC, Colombia se adhiere a acuerdo sobre Inteligencias Artificial ante los países de la OCDE. Mayo 22 de 2019. Disponible en: https://www.mintic.gov.co/portal/inicio/Sala-de-Prensa/Noticias/100683:Colombia-se-adhiere-a-acuerdo-sobre-Inteligencia-Artificial-ante-los-paises-de-la-OCDE

(5) REPÚBLICA DE COLOMBIA,MINISTERIO DE LAS TIC, Colombia adopta de forma temprana recomendaciones de ética en inteligencia artificial de la Unesco para la región. Mayo 2 de 2022. Disponible en: https://mintic.gov.co/portal/inicio/Sala-de-prensa/Noticias/208109:Colombia-adopta-de-forma-temprana-recomendaciones-de-etica-en-Inteligencia-Artificial-de-la-Unesco-para-la-region

(6) Unión Europea, Resolución 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (2020/2014(INL)).

(7) EU AI Act: first regulation on artificial intelligence. Nota de prensa publicada el 06 de agosto de 2023 disponible en https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence.  Traducción propia.

(8) Respuesta Suministrada por la Fiscalía General de la Nación a petición radicada por el HR Alirio Uribe cuya respuesta fue entregada con radicado No 20231200004051 el 25 de agosto de 2023.

(9) Respuesta Suministrada por el Departamento Nacional de Planeación a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con radicado No 20233100538591 el 25 de agosto de 2023.

(10) IBID

(11) https://2022.dnp.gov.co/programas/Desarrollo%20Digital/Paginas/Big%20Data2020.aspx

(12) Análisis cuantitativo y predicción del delito en Bucaramanga, Departamento Nacional de Planeación –DNP- julio de 2020 disponible en https://colaboracion.dnp.gov.co/CDT/Desarrollo%20Digital/Big%20Data/2020/08_Prediccion_crimen/Prediccion_crimen_Presentacion.pdf

(13) Respuesta Suministrada por La H. Corte Constitucional a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. 2023-3930 el 24 de agosto de 2023.

(14) Respuesta Suministrada por el H. Consejo Superior de la Judicatura a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. SGOJ 0857 con radicado interno NoRNEC-E-2023143191 del 23 agosto de 2023.

(15) Respuesta Suministrada por el H. Consejo Superior de la Judicatura a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. DEAJO23-594 el 23 de agosto de 2023.

(16) ORGANIZACIÓN DE COOPERACIÓN Y DESARROLLO ECONÓMICOS, OCDE, Recomendación del Consejo de Inteligencia Artificial,  Adoptado el: 21/05/2019, Disponible en: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(17) UNESCO, Recomendación sobre la ética de la Inteligencia Artificial, Disponible en: https://unesdoc.unesco.org/ark:/48223/pf0000380455_spa

—————————————————————————

9. TEXTO PROPUESTO PARA PRIMER DEBATE PROYECTO DE LEY

ESTATUTARIA N.° 154 DE 2024 C

“POR LA CUAL SE DEFINE Y REGULA LA INTELIGENCIA ARTIFICIAL, SE AJUSTA A ESTÁNDARES DE DERECHOS HUMANOS, SE ESTABLECEN LÍMITES FRENTE A SU DESARROLLO, USO E IMPLEMENTACIÓN SE MODIFICA PARCIALMENTE LA LEY 1581 DE 2012 Y SE DICTAN OTRAS DISPOSICIONES”

EL CONGRESO DE COLOMBIA,

DECRETA:

T Í T U L O I.- D I S P O S I C I O N E S  G E N E R A L E S

ARTÍCULO 1. OBJETO.

La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como para regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.

ARTÍCULO 2. ÁMBITO DE APLICACIÓN.

Las disposiciones de esta ley son aplicables al diseño, innovación, aplicación, uso y desarrollo de la inteligencia artificial por parte de personas naturales o jurídicas, así como a los proveedores, productores o demás agentes que participen en el desarrollo de la inteligencia artificial nacionales y extranjeros, salvo en los casos donde resulte aplicable una regulación especial.

Los principios y disposiciones contenidos en la presente ley serán aplicables a:

d. Los Productores que desarrollen inteligencia artificial y/u ofrezcan o comercialicen la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia artificial produce efectos en el territorio colombiano.

e. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano.

f. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano.

La regulación contenida en esta Ley Estatutaria no aplicará a la inteligencia artificial que:

c. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico.

En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo establecidas para regular la investigación con seres vivos.

d. Sea empleada por usuarios persona natural no comerciante en el marco de actividades de índole personal y no profesionales o que afecten a terceros.

ARTÍCULO 3. DEFINICIONES.

Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones:

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produce, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario.

Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario.

Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, que emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales.

Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales.

PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, garantizando de esta manera la participación ciudadana y su actualización periódica.

ARTÍCULO 4. PRINCIPIOS.

El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios:

Principio de Respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales.

Principio de Bienestar Integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos.

Principio de Responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables.

Principio de Supervisión y Prevalencia de la Inteligencia Humana: Se preferirá la decisión humana respecto de los resultados derivados de la Inteligencia Artificial.

Toda decisión tomada con base en los resultados de sistemas de inteligencia artificial será susceptible de revisión humana y. La responsabilidad ética y legal de estas decisiones recaerá sobre las personas naturales o jurídicas involucradas en su uso.

Principio de Privacidad y Confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas.

Principio de Seguridad y Protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad.

Principio de Desarrollo Sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales.

Principio de Inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de éste, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual.

Principio de Proporcionalidad o Inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el medio ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos.

Principio de Transparencia y Explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión.

Principio de Responsabilidad y Rendición de Cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables.

Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible.

Principio de Confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.

PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.

ARTÍCULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores:

Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso de la inteligencia artificial.

Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar entre sí a las personas ni promover la violencia.

Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto,  ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, género, edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales.

Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.

T Í T U L O II.-

CONDICIONES PARA EL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el riesgo por los productores y proveedores de la siguiente manera:

Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito.

Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de

la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales.

Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales.

Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios.

PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley.

PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable, alto riesgo, riesgo limitado y riesgo nulo. El reglamento deberá contar con actualización periódica de los sistemas o programas teniendo en cuenta los avances de este tipo de tecnologías y también el tipo de industria o sector que provea o use estos sistemas.

ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL.

Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades

PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.

ARTÍCULO 8. AFECTACIONES DERIVADAS DE LA INTELIGENCIA ARTIFICIAL.

Las personas que resulten afectadas en sus derechos fundamentales con ocasión del uso e implementación de sistemas de inteligencia artificial podrán solicitar la revisión por parte de la autoridad competente, presentar reclamaciones y solicitudes de revocatoria ante la autoridad competente y solicitar medidas cautelares así como para prevenir mayores afectaciones.

ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL.

Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios:

g. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial.

h. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales.

i. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades públicas y/o privadas que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal

PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas.

ARTÍCULO 10. CONSENTIMIENTO INFORMADO.

En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales.

PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta.

PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial que eventualmente pueda ser declarada por parte de un juez.

PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.

ARTÍCULO 11. ALFABETIZACIÓN DIGITAL.

El Ministerio de Educación Nacional en coordinación con el Ministerio de tecnologías de la información y las comunicaciones formularán, dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas  políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de formar integralmente a los jóvenes en el uso responsable y productivo de sistemas de inteligencia artificial.

ARTÍCULO 12. GARANTÍA DE SEGURIDAD LABORAL A MEDIANO Y LARGO PLAZO.

Las empresas públicas o privadas que tomen la decisión de suprimir puestos de trabajo con ocasión del uso e implementación de sistemas de inteligencia artificial tendrán la obligación de:

Informar a los empleados afectados sobre la eventual supresión de su puesto de trabajo, con una antelación no inferior a seis (6) meses previos a la fecha en que se prevé la supresión de los puestos.

Desarrollar planes de reconversión laboral y capacitación en nuevas formas de trabajo, al menos durante los seis (6) meses previos a la fecha en que se prevé la supresión de los puestos.

Los trabajadores cuyo puesto de trabajo sea suprimido con ocasión del uso e implementación de sistemas de inteligencia artificial ingresarán a la ruta de empleabilidad de la Unidad del Servicio Público de Empleo.

Parágrafo 1. El Ministerio del Trabajo integrará al mecanismo de protección al cesante, el seguro de desempleo por automatización y una forma de continuidad en la cotización de la seguridad social de los trabajadores afectados.

Parágrafo 2. El empleador deberá solicitar autorización al Ministerio del Trabajo cuando se trate de despidos colectivos, de conformidad con la normatividad vigente.

Parágrafo 3. En las empresas donde exista organización sindical, se socializará con estos de manera previa la implementación y el uso de sistemas de inteligencia artificial y la ruta para la protección del empleo y derechos laborales, permitiendo que presenten observaciones al respecto.

Parágrafo 4. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.

ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades:

1. Manipulación del comportamiento.

2. Explotación de la vulnerabilidad de grupos o personas.

3. Imposición de barreras de acceso o la exclusión de personas mediante la calificación de perfiles para el otorgamiento de créditos.

4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles demográficos, étnicos o socioeconómicos, la ubicación o comportamientos pasados.

5. Manipulación de emociones, instintos y razones de decisión.

6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial.

7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial.

8. Identificación biométrica para persecución de delitos graves sin autorización judicial.

9. Categorización biométrica basada en género, raza, etnia, etc.

10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales.

11. Influencia en votantes y resultados de procesos electorales.

12. La definición de sentencias y decisiones judiciales o la generación de análisis normativos que configuren un reemplazo del ejercicio de la función jurisdiccional en cabeza de los jueces.

13. Limitar la libertad de expresión.

14. El diseño, fabricación, producción y comercialización de armas y sistemas de armas con autonomía para realizar ataques o ejercer violencia sobre personas y bienes, sin una supervisión humana efectiva y eficiente.

15. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos.

ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL.

En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las personales naturales o jurídicas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones.

PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales riesgos, deficiencias e incidentes graves presentados en el manejo y gestión de esta.

PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.

ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL.

En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático.

PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta.

PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con el Ministerio de Ambiente y Desarrollo Sostenible establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.

T Í T U L O III.- INSPECCIÓN, CONTROL Y VIGILANCIA EN MATERIA DE INTELIGENCIA

ARTIFICIAL

ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así:

Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley.

Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e  incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial.

ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así:

ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES.

El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes:

(…)

31. Desarrollar los lineamientos de política pública necesarios para reglamentar y velar por el cumplimiento de la legislación en materia de inteligencia artificial;

32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial;

33. Crear y administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

34. Las demás que le sean asignadas en la ley.

ARTÍCULO 18. AUDITORÍA DE ALGORITMOS.

La Superintendencia de Industria y Comercio implementará procesos de auditoría de los sistemas de inteligencia artificial en proceso de certificación o aquellos que generen riesgos altos, para garantizar la protección de los derechos de los usuarios, sus datos personales de los usuarios y el cumplimiento de lo previsto en la presente ley.

ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la Información y Comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad.

Los productores nacionales e internacionales que usen sistemas de inteligencia artificial en Colombia deberán rendir un informe anual ante la Superintendencia de Industria y Comercio en el que demuestran, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que la actividad se encuentra ajustada a los estándares de esta Ley.

PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial.

En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.

ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN.

Las  empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley. En todo caso la Superintendencia de Industria y Comercio fijará los estándares y condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.

ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES.

La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.

T Í T U L O IV.- MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 22. FORMACIÓN EN MATERIA DE INTELIGENCIA ARTIFICIAL.

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones adoptará medidas para que la sociedad conozca los beneficios, oportunidades, retos, implicaciones y riesgos para los derechos humanos y fundamentales del desarrollo, uso e implementación de la inteligencia artificial, especialmente a través de la formación de los servidores públicos sobre la materia, para ello promoverá descuentos en los cursos de extensión, diplomados, posgrados en materia tecnológica, dicho tema será reglamentado por el Gobierno Nacional en un plazo no menor a 6 meses.

ARTÍCULO 23. APRENDIZAJE DE LA INTELIGENCIA ARTIFICIAL.

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo de campañas sobre el uso responsable de la inteligencia artificial para los estudiantes de las instituciones públicas y privadas, así como se incentivará el desarrollo de cursos de formación en programación responsable.

ARTÍCULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL:

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información.

El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.

T Í T U L O V.- OTRAS DISPOSICIONES

ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN.

Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses contados a partir de la expedición de la reglamentación que trata la presente ley, para adecuarse a dichas disposiciones.

ARTÍCULO 26. REGLAMENTACIÓN.

El Ministerio de Tecnologías de la información y las Comunicaciones en coordinación con el Ministerio de Ciencia, Tecnología e Innovación, el Ministerio de Industria, Comercio y Turismo reglamentará en un período no mayor de un (1) año a partir de la promulgación de esta ley, los lineamientos, criterios, condiciones y disposiciones técnicos y éticos para el desarrollo, uso y manejo de la Inteligencia Artificial en el contexto nacional.

Dicha reglamentación deberá garantizar la protección de los Derechos Humanos y del medio ambiente, en concordancia con las recomendaciones internacionales proferidas sobre el desarrollo y manejo de la Inteligencia artificial, para asegurar la armonía entre el desarrollo tecnológico y el bienestar de la sociedad en general, estableciendo un equilibrio que promueva el desarrollo responsable y ético de la Inteligencia Artificial.

PARÁGRAFO 1. Las autoridades anteriormente mencionadas en articulación con la Superintendencia de Industria y Comercio deberán establecer un plan de seguimiento, control, vigilancia y evaluación para el cumplimiento de la reglamentación acerca del manejo y uso de la Inteligencia Artificial en un término no mayor de (1) año a partir de la promulgación de esta ley.

PARÁGRAFO 2. El Gobierno Nacional promoverá y fomentará la participación e inclusión ciudadana a través de las veedurías para asegurar la transparencia y seguridad en la gestión de la Inteligencia Artificial.

ARTÍCULO 27. COOPERACIÓN NACIONAL E INTERNACIONAL.

El Gobierno Nacional promoverá la cooperación y colaboración de las diferentes entidades, empresas y organizaciones nacionales e internacionales en materia de investigación, sensibilización, innovación, gestión y manejo ético e integral para el avance responsable de la Inteligencia Artificial.

ARTÍCULO 28. VIGENCIA Y DEROGACIONES.

La presente ley rige a partir de su sanción y publicación en el Diario Oficial y deroga todas las disposiciones legales o reglamentarias que le sean contrarias.

Atentamente,

KARYME COTES MARTÍNEZ , Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente

ASTRID SÁNCHEZ MONTES DE OCA, Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

 OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA, Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente