CCDT-Site-white
La Inteligencia Artificial en las Entidades Públicas: Un Marco para Gestionarla con Seguridad
Home/ La Inteligencia Artificial en las Entidades Públicas: Un Marco para Gestionarla con Seguridad

La Inteligencia Artificial ya hace parte del quehacer cotidiano de numerosas entidades públicas en Colombia. Chatbots de atención ciudadana, sistemas de análisis de riesgo y herramientas de automatización de trámites se han incorporado con rapidez a la gestión estatal, en muchos casos antes de que existieran marcos formales para regularla.

En ese contexto, en abril de 2026 el Gobierno colombiano, a través del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), publicó los Lineamientos de Seguridad y Privacidad de la Información para Sistemas de Inteligencia Artificial. Este documento establece las directrices que deben seguir las entidades públicas para incorporar la IA de forma segura y responsable, y constituye, además, el punto de partida para implementar un Sistema de Gestión de IA (SGIA) estructurado.

¿A quién aplican estos lineamientos?

Los lineamientos son de obligatorio cumplimiento para todas las entidades públicas del orden nacional y territorial, así como para los proveedores de servicios de Gobierno Digital que interactúen con sistemas de información del Estado. Su ámbito de aplicación abarca, por tanto, ministerios, departamentos administrativos, entidades descentralizadas, gobernaciones, alcaldías y cualquier organismo que adopte, desarrolle o contrate sistemas de inteligencia artificial en el marco de sus funciones públicas.

Marco constitucional y legal

La base más alta del ordenamiento jurídico que orienta estos lineamientos se encuentra en la Constitución Política de Colombia. El artículo 15 protege el derecho fundamental a la intimidad personal y familiar, así como el derecho al habeas data, que comprende la facultad de los ciudadanos de conocer, actualizar y rectificar la información que sobre ellos repose en bases de datos públicas o privadas. El artículo 13 garantiza la igualdad ante la ley y prohíbe toda forma de discriminación. Ambos principios deben materializarse en el diseño, entrenamiento, operación y retiro de cualquier sistema de IA del Estado, especialmente en aquellos que produzcan decisiones automatizadas con efectos sobre derechos individuales.

La dimensión legal del sistema normativo está integrada por tres instrumentos centrales:

  • Ley 1581 de 2012 (Ley de Protección de Datos Personales): Establece los principios, derechos y obligaciones aplicables al tratamiento de datos personales. Su cumplimiento es especialmente exigente cuando los sistemas de IA procesan datos sensibles de ciudadanos, como ocurre en los sistemas de análisis de riesgo o de atención en salud.
  • Ley 1712 de 2014 (Ley de Transparencia y del Derecho de Acceso a la Información Pública): Obliga a las entidades estatales a garantizar el acceso ciudadano a la información pública, lo que implica que las decisiones adoptadas o apoyadas por sistemas de IA deben ser explicables, trazables y documentadas de manera accesible.
  • Ley 1273 de 2009 (Delitos Informáticos): Tipifica conductas que pueden derivarse de incidentes de seguridad en sistemas de IA, como el acceso abusivo a sistemas informáticos, la interceptación de datos o el daño de sistemas de información, con relevancia directa para la gestión de incidentes del SGIA.

A nivel reglamentario, el instrumento articulador es el Decreto 1078 de 2015 (Decreto Único Reglamentario del Sector TIC — DUR-TIC), que compila la regulación aplicable al sector de tecnologías de la información y las comunicaciones, incluidas las disposiciones sobre Gobierno Digital, seguridad de la información y servicios electrónicos del Estado.

Marco de política pública

La política de más alto nivel que respalda estos lineamientos es el CONPES 4144 de 2025Política Nacional de Inteligencia Artificial, que define los objetivos estratégicos del Estado colombiano en materia de IA, los principios rectores de su adopción —entre ellos la confiabilidad, la transparencia y la inclusión— y los compromisos sectoriales de implementación a cargo de las entidades del orden nacional.

Marco técnico-normativo

El sistema se completa con dos instrumentos técnicos de adopción obligatoria para las entidades públicas:

  • Modelo de Seguridad y Privacidad de la Información (MSPI): Desarrollado por el MinTIC como parte del marco de Gobierno Digital, establece los controles, dominios y procesos que las entidades deben implementar para proteger la información que gestionan, incluyendo aquella procesada por sistemas de IA.
  • Marco de Referencia de Arquitectura Empresarial para la Gestión de TI (MRAE): Define los lineamientos de arquitectura tecnológica del Estado, con los cuales los sistemas de IA deben ser coherentes en términos de interoperabilidad, gestión de datos e infraestructura.

En conjunto, estos instrumentos configuran un sistema normativo multinivel que vincula la adopción de IA en el Estado colombiano con obligaciones concretas en materia de derechos fundamentales, protección de datos, transparencia, seguridad de la información y política pública. Los lineamientos del MinTIC operan como el puente técnico que traduce ese sistema normativo en controles, procesos y responsabilidades específicas para cada entidad.

¿Qué es un Sistema de Gestión de IA?

Un SGIA es el conjunto de políticas, procesos, roles y controles que una organización establece para garantizar que sus sistemas de IA operen de manera segura, ética y conforme a la normativa vigente. El estándar internacional de referencia es la norma ISO/IEC 42001:2023, la primera en el mundo diseñada específicamente para este propósito.

Los lineamientos del MinTIC se alinean con esta norma, de modo que avanzar en el cumplimiento del mandato estatal y prepararse para una certificación internacional son, en gran medida, procesos complementarios.

Riesgos que los lineamientos buscan prevenir

El documento del MinTIC identifica escenarios de riesgo concretos que pueden materializarse cuando un sistema de IA opera sin controles adecuados:

  • Decisiones automatizadas basadas en datos sesgados que afectan los derechos de los ciudadanos
  • Generación de información incorrecta por parte de modelos de IA generativa, con posibles efectos jurídicos
  • Ataques de envenenamiento de datos que alteran el comportamiento de un modelo sin que la entidad lo detecte oportunamente
  • Filtración de datos personales procesados por sistemas de IA, con consecuencias bajo la Ley 1581 de 2012

Para cada uno de estos riesgos, los lineamientos proponen controles técnicos, organizativos y de gobernanza específicos.

Convergencia entre el NIST AI RMF y la ISO/IEC 42001

Aunque el NIST AI RMF y la ISO/IEC 42001 fueron desarrollados de manera independiente, su lógica es complementaria y, en gran medida, convergente. La diferencia central es que el NIST AI RMF es un marco voluntario y no certificable, orientado a la gestión contextual del riesgo, mientras que la ISO/IEC 42001 es un sistema de gestión certificable que ofrece verificabilidad frente a terceros. Para las entidades públicas colombianas, esto significa que adoptar el NIST AI RMF como herramienta de diagnóstico y estructuración del riesgo, y la ISO/IEC 42001 como marco de implementación y certificación, no es una elección excluyente: es una estrategia de doble capa que maximiza tanto la solidez técnica del SGIA como su legitimidad institucional y jurídica.

Cuatro pasos para implementar un SGIA

Los lineamientos estructuran la implementación en torno al ciclo de vida del sistema de IA y al modelo PHVA (Planificar, Hacer, Verificar, Actuar) de la ISO/IEC 42001. En términos prácticos, el proceso comprende cuatro momentos clave:

  1. Diagnóstico de brecha: Identificar qué sistemas de IA opera la entidad, qué datos procesan, qué riesgos presentan y qué controles existen actualmente frente a los requisitos normativos.
  2. Diseño del SGIA: Elaborar la política de IA institucional, definir objetivos, asignar roles y responsabilidades, y establecer la metodología de evaluación de impacto en privacidad y seguridad.
  3. Implementación operativa: Incorporar controles técnicos en cada etapa del ciclo de vida del sistema —desde el diseño hasta el retiro—, incluyendo monitoreo continuo y planes de respuesta a incidentes.
  4. Auditoría y mejora continua: Revisar periódicamente el desempeño del SGIA mediante indicadores definidos, ajustar los controles según los hallazgos y preparar a la entidad para una eventual certificación ISO/IEC 42001.

La integración del NIST AI RMF: Gobernar, Mapear, Medir y Gestionar

Los lineamientos del MinTIC no operan en el vacío. Se articulan con el AI Risk Management Framework (AI RMF) del Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), publicado en enero de 2023 como guía voluntaria para el diseño, desarrollo, implementación y uso responsable de sistemas de IA. Aunque su adopción no es obligatoria para entidades colombianas, su arquitectura conceptual resulta de alta utilidad práctica para estructurar los procesos de gestión de riesgos que los lineamientos del MinTIC exigen.

El núcleo del NIST AI RMF se organiza en torno a cuatro funciones interdependientes que operan de forma continua a lo largo del ciclo de vida del sistema:

  • Gobernar: Establecer y mantener estructuras de gobernanza que garanticen supervisión, responsabilidad y cumplimiento normativo. Implica definir quién asume cada riesgo, revisar políticas periódicamente e integrar consideraciones éticas desde el inicio del proceso.
  • Mapear: Identificar y documentar dónde se utiliza la IA, qué datos procesa, cómo interactúa con otros sistemas y qué impactos —positivos y negativos— puede generar sobre los ciudadanos.
  • Medir: Evaluar el comportamiento del sistema mediante indicadores de rendimiento, seguridad, sesgo, privacidad y robustez, con pruebas realizadas en condiciones de operación reales.
  • Gestionar: Actuar sobre los hallazgos: aplicar controles, documentar correcciones, priorizar intervenciones según impacto y probabilidad, y mantener registros transparentes para auditoría.

Estas cuatro funciones no son pasos secuenciales, sino actividades que se repiten de manera iterativa. Su lógica es coherente con el modelo PHVA de la ISO/IEC 42001 y con la metodología de los lineamientos del MinTIC, lo que facilita su integración en un SGIA unificado para las entidades públicas colombianas.

Adicionalmente, el NIST publicó en 2024 el Perfil de IA Generativa, documento que identifica 12 riesgos específicos de los modelos generativos —entre ellos la confabulación, la privacidad, la integridad de la información y la seguridad informática— con 467 medidas concretas de mitigación. Este perfil es especialmente relevante para las entidades que ya utilizan o planean implementar herramientas de IA generativa en su atención ciudadana.

La arquitectura de la ISO/IEC 42001: Sus 10 cláusulas

La ISO/IEC 42001:2023 adopta la denominada Estructura de Alto Nivel (High Level Structure), lo que la hace directamente compatible con otras normas del ecosistema ISO, como la ISO 27001 (seguridad de la información) y la ISO 9001 (gestión de calidad). Esta compatibilidad resulta especialmente valiosa para entidades públicas que ya cuenten con alguna de estas certificaciones, pues el SGIA puede integrarse sin duplicar estructuras. La norma comprende 10 cláusulas, 38 controles específicos de IA y 10 objetivos de control:

Cláusulas introductorias (1 a 3):

  • Cláusula 1 — Alcance: Define el propósito de la norma, el tipo de organizaciones a las que aplica y las condiciones de uso.
  • Cláusula 2 — Referencias normativas: Incorpora por referencia la norma ISO/IEC 22989:2022, que proporciona los conceptos y la terminología base de la inteligencia artificial.
  • Cláusula 3 — Términos y definiciones: Establece el glosario esencial para interpretar e implementar correctamente los requisitos.

Cláusulas de requisitos (4 a 10):

  • Cláusula 4 — Contexto de la organización: Exige comprender los factores internos y externos que pueden influir en los objetivos del SGIA, incluyendo el entorno normativo, las capacidades tecnológicas y las expectativas de las partes interesadas.
  • Cláusula 5 — Liderazgo: Requiere compromiso expreso de la alta dirección, la definición de una Política de IA institucional y la asignación formal de roles y responsabilidades.
  • Cláusula 6 — Planificación: Obliga a definir la metodología de gestión de riesgos de IA, incluyendo la identificación de oportunidades, la realización de Evaluaciones de Impacto de IA (AIE) y la planificación de cambios.
  • Cláusula 7 — Soporte: Garantiza que el SGIA cuente con los recursos necesarios, las competencias del equipo, la toma de conciencia institucional, los canales de comunicación efectiva y la documentación adecuada.
  • Cláusula 8 — Operación: Proporciona los requisitos para la planificación, implementación y control operativo de los procesos del SGIA, incluida la gestión del ciclo de vida del sistema de IA y la aplicación de los controles del Anexo A.
  • Cláusula 9 — Evaluación del desempeño: Exige monitorear, medir, analizar y evaluar el SGIA mediante indicadores definidos, auditorías internas periódicas y revisiones por la dirección.
  • Cláusula 10 — Mejora: Cierra el ciclo al requerir que las no conformidades sean corregidas mediante acciones correctivas documentadas, fomentando la mejora continua del sistema.

El Anexo A: Los controles específicos de IA

Más allá de las cláusulas de gestión, lo que distingue a la ISO/IEC 42001 de otras normas del sistema ISO es su Anexo A, que contiene 39 controles de referencia organizados en 10 dominios temáticos. Estos controles abordan aspectos que ninguna norma de gestión previa había sistematizado con este nivel de especificidad:

  • Gestión del ciclo de vida del sistema de IA (A.6): Establece requisitos para cada fase del desarrollo, desde la conceptualización hasta el retiro, con objetivos explícitos de explicabilidad, robustez y mantenibilidad.
  • Calidad y gestión de datos: Exige controles sobre la procedencia, representatividad y protección de los conjuntos de datos utilizados en el entrenamiento y operación de los modelos.
  • Transparencia y explicabilidad: Las organizaciones deben documentar el funcionamiento de sus sistemas de IA de manera comprensible para las partes interesadas, incluso cuando los algoritmos sean complejos.
  • Evaluación de impacto en derechos humanos: Requiere analizar y mitigar los efectos potenciales sobre la privacidad, la no discriminación y la igualdad — principios que, en el contexto colombiano, encuentran su fundamento directo en los artículos 13 y 15 de la Constitución Política.
  • Supervisión humana: Obliga a establecer niveles apropiados de control humano sobre las decisiones automatizadas, en especial en aquellas de alto impacto ciudadano.
  • Robustez y seguridad: Garantiza la resiliencia del sistema frente a fallos, ataques adversarios y condiciones operativas cambiantes.

Los Anexos B, C y D de la ISO/IEC 42001: De la norma a la práctica

Si el Anexo A de la ISO/IEC 42001:2023 establece los controles de referencia que una organización puede implementar en su SGIA, los Anexos B, C y D cumplen una función distinta pero igualmente esencial: son instrumentos de orientación práctica que facilitan la interpretación y aplicación de la norma en contextos organizacionales concretos, y que los lineamientos del MinTIC adoptan como referente técnico para la gestión de IA en el sector público colombiano.

El Anexo B ofrece una guía de implementación para cada uno de los controles del Anexo A. Su función es traducir las exigencias normativas abstractas en criterios técnicos y procedimentales accionables, explicando de qué manera una organización puede satisfacer cada control, qué evidencias debe generar y qué consideraciones de contexto son relevantes para su correcta aplicación. Para las entidades públicas, este anexo opera como el manual técnico de cabecera durante las fases de diseño e implementación operativa del SGIA.

El Anexo C aborda la gestión del impacto de la IA sobre los objetivos de la organización, con énfasis en la evaluación de riesgos relacionados con el ciclo de vida del sistema. Proporciona orientación sobre cómo identificar y analizar los factores que pueden afectar la capacidad de una entidad para lograr los resultados previstos de sus sistemas de IA, articulando ese análisis con la metodología PHVA que estructura el ciclo de mejora continua del SGIA. En el contexto de los lineamientos del MinTIC, este anexo resulta especialmente relevante para la fase de diagnóstico de brecha y para la elaboración de la metodología de evaluación de impacto en privacidad y seguridad que cada entidad debe formalizar.

El Anexo D, por su parte, establece una tabla de correspondencia entre la ISO/IEC 42001:2023 y otras normas del ecosistema ISO, entre ellas la ISO/IEC 27001:2022 —referencia obligatoria del MSPI del MinTIC— y la ISO 9001:2015. Esta tabla de alineamiento es de valor estratégico para las entidades que ya cuentan con alguna de estas certificaciones, pues permite identificar con precisión qué controles y procesos existentes son reutilizables en el SGIA, cuáles requieren adaptación y cuáles deben ser creados desde cero, optimizando así los recursos de implementación y evitando la duplicación de estructuras de gestión.

En Bitik acompañamos a organizaciones públicas y privadas en la implementación de Sistemas de Gestión de IA, desde el diagnóstico de brecha hasta la preparación para la certificación ISO/IEC 42001.

Email
Facebook
Twitter
Linkedin
WhatsApp
Telegram

Desarrollado por
Las cookies necesarias habilitan funciones esenciales del sitio como inicios de sesión seguros y ajustes de preferencias de consentimiento. No almacenan datos personales.
Ninguno
Las cookies funcionales soportan funciones como compartir contenido en redes sociales, recopilar comentarios y habilitar herramientas de terceros.
Ninguno
Las cookies analíticas rastrean interacciones de visitantes, proporcionando información sobre métricas como número de visitantes, tasa de rebote y fuentes de tráfico.
Ninguno
Las cookies de publicidad entregan anuncios personalizados basados en sus visitas previas y analizan la efectividad de las campañas publicitarias.
Ninguno
Desarrollado por