Logo Yulieth Martínez

Colombia Tech vs IA: El choque entre el boom de inversión y el freno de mano de la SIC

diciembre 15, 2025 | -

Twittear
Compartir
Compartir
0 Compartir

En WIRED, Jason Kehe suelta una frase simple: “People still read”, y arma una mini-lista de libros donde “Moderation” (sobre trabajo de moderación de contenido) convive con críticas duras al “cyberlibertarianism” y a la cultura tech libertaria. WIRED+1
En Colombia, esa misma palabra—moderación—ya no es literaria: la SIC formalizó lineamientos para el tratamiento de datos personales en sistemas de IA (Circular Externa 002 de 2024). Esto aterriza el debate en obligaciones: accountability demostrable, ponderación (idoneidad/ necesidad/ razonabilidad/ proporcionalidad), gestión de riesgos, estudios de impacto de privacidad y medidas técnicas como differential privacy. Superintendencia de Industria y Comercio+2Superintendencia de Industria y Comercio+2
Y mientras tanto, Colombia Tech Week crece rápido (asistentes, fondos, empresas) y quiere vendernos una narrativa: “Colombia como epicentro global tech”. Esa promesa solo escala si el país demuestra que puede innovar sin quemar confianza. El País

Qué pasó y por qué importa (hechos y fuentes)

  • La SIC publicó la Circular Externa 002 del 21 de agosto de 2024 con lineamientos específicos para tratar datos personales al desarrollar, desplegar o usar sistemas de IA. Superintendencia de Industria y Comercio+1
  • La Circular insiste en “responsabilidad demostrada (accountability)” y en privacidad desde el diseño y por defecto, con énfasis en que al entrenar IA se apliquen técnicas que eviten identificar personas. Superintendencia de Industria y Comercio+1
  • Exige ponderación con cuatro criterios (idoneidad, necesidad, razonabilidad y proporcionalidad) y sugiere estudios de impacto de privacidad cuando el riesgo sea alto. Superintendencia de Industria y Comercio
  • Aclara un punto que muchos equipos “olvidan” convenientemente: “accesible al público” no significa “dato público”, y estar en internet no habilita uso libre sin autorización. Superintendencia de Industria y Comercio
  • Colombia Tech Week reporta crecimiento fuerte: en 2024 hizo +150 eventos y +11.000 asistentes; en 2025 superó 260 eventos y 20.600 asistentes, con participación de fondos e inversionistas internacionales. El País
  • En paralelo, WIRED usa la lectura (y una novela sobre moderación) para recordarnos que la cultura tech también se discute en libros, no solo en pitches. WIRED+1

Por qué importa: porque el “hub tech” no se sostiene solo con eventos y capital. Se sostiene con infraestructura de confianza: ¡datos bien tratados! (Si, un grito), IA auditable, y equipos capaces de demostrar cumplimiento cuando llegue la SIC… o cuando llegue un cliente enterprise y pida due diligence.

Análisis técnico (cómo funciona; arquitectura/algoritmo; límites)

Un sistema de IA “real” (no el demo bonito) suele tener este pipeline:

  1. Ingesta: CRM/call center, documentos, chats, señales de uso.
  2. Preparación: limpieza, etiquetado, embeddings, feature store.
  3. Entrenamiento / fine-tuning (o prompt+RAG): donde el riesgo de reidentificación y fuga se vuelve serio.
  4. Inferencia: el modelo responde, recomienda o decide (parcial o totalmente).
  5. Monitoreo: drift, sesgos, incidentes, logging, trazabilidad.

La Circular te obliga a diseñar esto con mentalidad de accountability demostrable: no basta con “tenemos políticas”, toca evidencia (controles, auditoría, documentación). Superintendencia de Industria y Comercio+1

Límites técnicos típicos (y dónde se rompen promesas):

  • Data leakage vía prompts, logs o datasets mal segregados.
  • Model inversion / membership inference (más probable cuando entrenas con datos sensibles).
  • Sesgos + decisiones automatizadas sin explicación suficiente (y sin evaluación de impacto).
  • Scraping” de datos “públicos” que en realidad no lo son (y ahí te estrellás con la SIC). Superintendencia de Industria y Comercio

Aquí una analogía (solo una): tu modelo puede ser un Ferrari, pero si no tiene frenos (gobierno de datos), no es innovación: es un choque anunciado.

Impacto para Colombia/Bogotá/LatAm (regulación, costos, proveedores locales)

  • Regulación: la SIC está marcando cancha: IA sí, pero con ponderación, riesgo, seguridad y evidencia. Esto afecta directo a bancos, retail, salud, govtech y cualquier startup que toque datos personales en Colombia. Superintendencia de Industria y Comercio+1
  • Costos: hacer “privacy by design” cuesta (DPIA, controles, logging, hardening, governance), pero el costo de NO hacerlo es peor: fricción comercial, pérdida de deals enterprise, y exposición a investigación/sanción.
  • Ecosistema Bogotá: Colombia Tech Week está intentando convertir networking en capital y programas (ej. aceleración con aliados locales). Eso funciona mejor cuando el país puede vender “somos serios con datos”, no solo “somos baratos y talentosos”. El País

Riesgos y trade-offs (seguridad, privacidad, lock-in, costos ocultos)

  • Seguridad vs velocidad: “ship fast” en IA sin controles te sube el riesgo de incidentes y retrabajo (y eso mata time-to-value).
  • Privacidad vs performance: técnicas tipo differential privacy pueden introducir ruido y bajar exactitud, pero elevan protección y gobernanza. Superintendencia de Industria y Comercio
  • Lock-in: si tu arquitectura se casa con un solo vendor (modelos, tooling, pipelines), la salida puede ser carísima. Diseña contratos + abstracciones (APIs, estándares de logging, data portability).
  • Costos ocultos: storage de logs, egress, rotación de claves, retención, y el “equipo sombra” que termina sosteniendo compliance a las carreras.

Checklist accionable (CTO/CIO/arquitectos, hay que hacerlo)

  • Define y documenta finalidad + base legal del tratamiento (y que sobreviva auditoría).
  • Ejecuta la ponderación: idoneidad / necesidad / razonabilidad / proporcionalidad y guárdala como evidencia. Superintendencia de Industria y Comercio
  • Clasifica datos (público/semiprivado/privado/sensible) y NO asumas que “internet = público”. Superintendencia de Industria y Comercio
  • Si hay alto riesgo: haz estudio de impacto de privacidad (DPIA) con operaciones, riesgos y mitigaciones. Superintendencia de Industria y Comercio
  • Minimiza datos + aplica privacy by design (tokenización, seudonimización, acceso mínimo, segregación por entorno). Superintendencia de Industria y Comercio
  • Evalúa differential privacy (central o local) cuando hagas analítica/entrenamiento con personales. Superintendencia de Industria y Comercio
  • Endurece la plataforma: logging auditable, controles de acceso, claves, retención, y pruebas de fuga (red teaming de prompts/RAG).
  • Alinea negocio: sin gobierno de datos, tu IA no es “producto”; es pasivo legal y reputacional.

Mini-glosario (5–10 términos clave)

  • Accountability (responsabilidad demostrada): capacidad de probar cumplimiento con evidencia. Superintendencia de Industria y Comercio
  • Privacy by design/by default: privacidad incorporada desde el diseño y por defecto. Superintendencia de Industria y Comercio
  • DPIA (estudio de impacto de privacidad): evaluación documentada de riesgos y mitigaciones. Superintendencia de Industria y Comercio
  • Differential privacy: técnicas para analizar datos sin revelar información individual. Superintendencia de Industria y Comercio
  • RAG: recuperación de información + generación (reduce entrenamiento, aumenta superficie de fuga si se hace mal).
  • Data minimization: recolectar/usar solo lo necesario para la finalidad.
  • Drift: degradación del comportamiento del modelo por cambios en datos/contexto.
  • Reidentificación: volver identificable a alguien desde datos “anonimizados” o combinados.
Twittear
Compartir
Compartir
0 Compartir
← Volver al blog