Blog de Juztina

#Ciberseguridad

#InteligenciaArtificial

#Perú

#ProtecciónDeDatos

marzo 18, 2026

Cuando los algoritmos procesan personas: la convergencia entre la regulación de IA, la protección de datos personales y la ciberseguridad

It Experts Server Hub Doing Brainstorming Finding Ways Shield Data

La inteligencia artificial no está operando en un vacío regulatorio. Cuando los algoritmos utilizan datos de personas, la protección de datos, la gobernanza de IA y la ciberseguridad empiezan a converger como tres pilares del cumplimiento digital contemporáneo. 

Durante años se ha repetido una idea casi como un mantra en los debates sobre tecnología. La inteligencia artificial avanza más rápido que el derecho. Bajo esa premisa, los sistemas algorítmicos operarían en una especie de vacío legal mientras los reguladores intentan ponerse al día.

Sin embargo, cuando se observa con más detenimiento cómo funcionan realmente estos sistemas, esa narrativa empieza a perder fuerza.

Muchos de los sistemas de inteligencia artificial (IA) que hoy utilizan empresas, plataformas digitales o entidades financieras no trabajan con datos abstractos. En realidad, procesan información sobre personas como hábitos de consumo, historiales financieros, patrones de navegación, preferencias o interacciones digitales. Cuando los algoritmos analizan ese tipo de información, el tema deja de ser únicamente tecnológico. También pasa a ser un asunto de protección de datos personales.

Y en ese momento el supuesto vacío regulatorio comienza a desvanecerse.

La IA como tecnología intensiva en datos

Los sistemas de IA dependen, en gran medida, de grandes volúmenes de información para entrenar modelos, identificar patrones y generar predicciones. Mientras más datos tienen disponibles, mayor suele ser su capacidad para reconocer comportamientos, segmentar usuarios o anticipar decisiones.

El problema es que esos datos rara vez son neutrales. Con frecuencia están vinculados a personas.

Datos de navegación, historiales de consumo, registros financieros, patrones de comportamiento o preferencias digitales se convierten en insumos fundamentales para el funcionamiento de muchos sistemas algorítmicos. Cuando esa información permite identificar directa o indirectamente a una persona, su tratamiento entra en el ámbito de la normativa de protección de datos.

Desde esta perspectiva, la discusión sobre IA no empieza en un terreno completamente nuevo. En realidad, se conecta con un marco regulatorio que ya existe y que desde hace años establece límites al uso de información personal.

Protección de datos y decisiones automatizadas

El Reglamento de la Ley de Protección de Datos Personales establece principios claros sobre cómo deben tratarse los datos de las personas. Conceptos como finalidad, proporcionalidad, transparencia, seguridad o responsabilidad buscan asegurar que el uso de la información respete los derechos de los titulares de los datos.

Aunque estas reglas no fueron diseñadas específicamente para sistemas de IA, terminan influyendo directamente en su funcionamiento.

Un sistema que recomienda productos, segmenta consumidores o evalúa el riesgo crediticio de una persona no solo es una herramienta tecnológica. También es una forma de tratamiento de datos personales.

Y eso abre preguntas jurídicas muy concretas.

¿Existe una base válida para usar esos datos?

¿Las personas fueron informadas sobre ese tratamiento?

¿La información se utiliza para la finalidad con la que fue recopilada?

¿Existen mecanismos que permitan supervisar el uso de esos datos?

Cuando se analizan estos sistemas desde esa perspectiva, la idea de que la IA opera sin regulación empieza a resultar difícil de sostener.

La gobernanza tecnológica y el Reglamento de la Ley de Inteligencia Artificial

El marco regulatorio tampoco se ha quedado estático. En los últimos años han comenzado a surgir normas específicas que buscan abordar los desafíos asociados al uso de sistemas algorítmicos.

En el caso peruano, el Reglamento de la Ley de Inteligencia Artificial introduce un enfoque de gobernanza tecnológica que pone el foco en la gestión de riesgos, la transparencia y el uso responsable de estos sistemas.

La lógica detrás de esta regulación es relativamente simple. La IA no debe evaluarse únicamente por lo que puede hacer desde el punto de vista técnico. También debe analizarse por el impacto que puede generar en las personas y en la confianza que depositamos en los sistemas digitales.

Este enfoque refleja una tendencia regulatoria que se observa a nivel internacional. En lugar de regular únicamente la tecnología, los nuevos marcos normativos buscan establecer principios para su desarrollo y uso responsable.

Eso implica exigir evaluaciones de riesgo, mecanismos de supervisión, trazabilidad en los procesos automatizados y responsabilidades claras para las organizaciones que desarrollan o utilizan estos sistemas.

El tercer pilar que suele quedar fuera de la conversación

Pero hay un elemento adicional que cada vez gana más relevancia en este escenario y que muchas veces queda fuera del debate sobre IA. La ciberseguridad.

La IA necesita datos para funcionar. La protección de datos establece las reglas sobre cómo pueden utilizarse. Pero la ciberseguridad responde a una pregunta igualmente fundamental. ¿Están esos datos y los sistemas que los procesan realmente protegidos?

Los incidentes de seguridad, las filtraciones de información o los accesos no autorizados pueden comprometer grandes volúmenes de datos personales y afectar directamente la confianza en los sistemas digitales.

Cuando estos datos alimentan sistemas de IA, los riesgos pueden amplificarse. Un incidente no solo expone información sensible, también puede afectar la integridad de los modelos algorítmicos que dependen de esos datos.

Aquí entran en juego los estándares de seguridad de la información promovidos por marcos internacionales como la familia ISO/IEC 27000, que proponen prácticas para gestionar riesgos, proteger la información y fortalecer la resiliencia de los sistemas digitales.

Aunque estos estándares no regulan directamente la IA, se vuelven esenciales cuando los algoritmos dependen de grandes volúmenes de información o de infraestructuras tecnológicas complejas.

Un nuevo modelo de cumplimiento digital

En la práctica, lo que estamos viendo no es solo la aparición de nuevas reglas sobre IA. Lo que empieza a tomar forma es un modelo de cumplimiento digital más amplio, donde distintas áreas regulatorias comienzan a conectarse entre sí.

La protección de datos personales establece cómo pueden utilizarse los datos de las personas.

La regulación de IA busca orientar cómo deben diseñarse y utilizarse los sistemas algorítmicos.

La ciberseguridad se ocupa de cómo se protegen los datos y las infraestructuras que permiten que esos sistemas funcionen.

Por separado, estas normas parecen pertenecer a mundos distintos. Pero cuando se observan juntas, empiezan a dibujar un nuevo marco de gobernanza tecnológica.

Un marco en el que la gestión responsable de la tecnología depende tanto del uso legítimo de los datos como de la seguridad de los sistemas y de la forma en que se diseñan los algoritmos.

Para muchas organizaciones, esto implica replantear cómo se entiende el cumplimiento normativo en el entorno digital. Ya no se trata únicamente de cumplir con una regulación específica, sino de integrar distintas dimensiones regulatorias dentro de una misma estrategia de gobernanza tecnológica.

Cuando los algoritmos procesan personas

En el fondo, la IA no está creando un problema regulatorio completamente nuevo. Por el contrario, está revelando algo que el derecho digital lleva tiempo anticipando.

Cuando la tecnología procesa información sobre personas, los datos, los algoritmos y la seguridad dejan de ser solo cuestiones técnicas. También se convierten en cuestiones jurídicas.

Elaborado por: Luis Palomino

Comparte este artículo

  • Facebook
  • Twitter
  • LinkedIn
  • WhatsApp