Imagen ilustrativa — Estrategia
Volver al blog Back to blog
EstrategiaStrategy · 15 diciembre 2025 December 15, 2025 · 5 min de lectura 4 min read

Colombia Tech vs IA: El choque entre el boom de inversión y el freno de mano de la SIC Colombia Tech vs AI: The Clash Between the Investment Boom and the SIC's Emergency Brake

En WIRED, Jason Kehe suelta una frase simple: “People still read”, y arma una mini-lista de libros donde “Moderation” (sobre trabajo de moderación de contenido) convive con críticas duras al “cyberlibertarianism” y a la cultura tech libertaria. WIRED+1
En Colombia, esa misma palabra—moderación—ya no es literaria: la SIC formalizó lineamientos para el tratamiento de datos personales en sistemas de IA (Circular Externa 002 de 2024). Esto aterriza el debate en obligaciones: accountability demostrable, ponderación (idoneidad/ necesidad/ razonabilidad/ proporcionalidad), gestión de riesgos, estudios de impacto de privacidad y medidas técnicas como differential privacy. Superintendencia de Industria y Comercio+2Superintendencia de Industria y Comercio+2
Y mientras tanto, Colombia Tech Week crece rápido (asistentes, fondos, empresas) y quiere vendernos una narrativa: “Colombia como epicentro global tech”. Esa promesa solo escala si el país demuestra que puede innovar sin quemar confianza. El País

Qué pasó y por qué importa (hechos y fuentes)

  • La SIC publicó la Circular Externa 002 del 21 de agosto de 2024 con lineamientos específicos para tratar datos personales al desarrollar, desplegar o usar sistemas de IA. Superintendencia de Industria y Comercio+1
  • La Circular insiste en “responsabilidad demostrada (accountability)” y en privacidad desde el diseño y por defecto, con énfasis en que al entrenar IA se apliquen técnicas que eviten identificar personas. Superintendencia de Industria y Comercio+1
  • Exige ponderación con cuatro criterios (idoneidad, necesidad, razonabilidad y proporcionalidad) y sugiere estudios de impacto de privacidad cuando el riesgo sea alto. Superintendencia de Industria y Comercio
  • Aclara un punto que muchos equipos “olvidan” convenientemente: “accesible al público” no significa “dato público”, y estar en internet no habilita uso libre sin autorización. Superintendencia de Industria y Comercio
  • Colombia Tech Week reporta crecimiento fuerte: en 2024 hizo +150 eventos y +11.000 asistentes; en 2025 superó 260 eventos y 20.600 asistentes, con participación de fondos e inversionistas internacionales. El País
  • En paralelo, WIRED usa la lectura (y una novela sobre moderación) para recordarnos que la cultura tech también se discute en libros, no solo en pitches. WIRED+1

Por qué importa: porque el “hub tech” no se sostiene solo con eventos y capital. Se sostiene con infraestructura de confianza: ¡datos bien tratados! (Si, un grito), IA auditable, y equipos capaces de demostrar cumplimiento cuando llegue la SIC… o cuando llegue un cliente enterprise y pida due diligence.

Análisis técnico (cómo funciona; arquitectura/algoritmo; límites)

Un sistema de IA “real” (no el demo bonito) suele tener este pipeline:

  1. Ingesta: CRM/call center, documentos, chats, señales de uso.
  2. Preparación: limpieza, etiquetado, embeddings, feature store.
  3. Entrenamiento / fine-tuning (o prompt+RAG): donde el riesgo de reidentificación y fuga se vuelve serio.
  4. Inferencia: el modelo responde, recomienda o decide (parcial o totalmente).
  5. Monitoreo: drift, sesgos, incidentes, logging, trazabilidad.

La Circular te obliga a diseñar esto con mentalidad de accountability demostrable: no basta con “tenemos políticas”, toca evidencia (controles, auditoría, documentación). Superintendencia de Industria y Comercio+1

Límites técnicos típicos (y dónde se rompen promesas):

  • Data leakage vía prompts, logs o datasets mal segregados.
  • Model inversion / membership inference (más probable cuando entrenas con datos sensibles).
  • Sesgos + decisiones automatizadas sin explicación suficiente (y sin evaluación de impacto).
  • Scraping” de datos “públicos” que en realidad no lo son (y ahí te estrellás con la SIC). Superintendencia de Industria y Comercio

Aquí una analogía (solo una): tu modelo puede ser un Ferrari, pero si no tiene frenos (gobierno de datos), no es innovación: es un choque anunciado.

Impacto para Colombia/Bogotá/LatAm (regulación, costos, proveedores locales)

  • Regulación: la SIC está marcando cancha: IA sí, pero con ponderación, riesgo, seguridad y evidencia. Esto afecta directo a bancos, retail, salud, govtech y cualquier startup que toque datos personales en Colombia. Superintendencia de Industria y Comercio+1
  • Costos: hacer “privacy by design” cuesta (DPIA, controles, logging, hardening, governance), pero el costo de NO hacerlo es peor: fricción comercial, pérdida de deals enterprise, y exposición a investigación/sanción.
  • Ecosistema Bogotá: Colombia Tech Week está intentando convertir networking en capital y programas (ej. aceleración con aliados locales). Eso funciona mejor cuando el país puede vender “somos serios con datos”, no solo “somos baratos y talentosos”. El País

Riesgos y trade-offs (seguridad, privacidad, lock-in, costos ocultos)

  • Seguridad vs velocidad: “ship fast” en IA sin controles te sube el riesgo de incidentes y retrabajo (y eso mata time-to-value).
  • Privacidad vs performance: técnicas tipo differential privacy pueden introducir ruido y bajar exactitud, pero elevan protección y gobernanza. Superintendencia de Industria y Comercio
  • Lock-in: si tu arquitectura se casa con un solo vendor (modelos, tooling, pipelines), la salida puede ser carísima. Diseña contratos + abstracciones (APIs, estándares de logging, data portability).
  • Costos ocultos: storage de logs, egress, rotación de claves, retención, y el “equipo sombra” que termina sosteniendo compliance a las carreras.

Checklist accionable (CTO/CIO/arquitectos, hay que hacerlo)

  • Define y documenta finalidad + base legal del tratamiento (y que sobreviva auditoría).
  • Ejecuta la ponderación: idoneidad / necesidad / razonabilidad / proporcionalidad y guárdala como evidencia. Superintendencia de Industria y Comercio
  • Clasifica datos (público/semiprivado/privado/sensible) y NO asumas que “internet = público”. Superintendencia de Industria y Comercio
  • Si hay alto riesgo: haz estudio de impacto de privacidad (DPIA) con operaciones, riesgos y mitigaciones. Superintendencia de Industria y Comercio
  • Minimiza datos + aplica privacy by design (tokenización, seudonimización, acceso mínimo, segregación por entorno). Superintendencia de Industria y Comercio
  • Evalúa differential privacy (central o local) cuando hagas analítica/entrenamiento con personales. Superintendencia de Industria y Comercio
  • Endurece la plataforma: logging auditable, controles de acceso, claves, retención, y pruebas de fuga (red teaming de prompts/RAG).
  • Alinea negocio: sin gobierno de datos, tu IA no es “producto”; es pasivo legal y reputacional.

Mini-glosario (5–10 términos clave)

  • Accountability (responsabilidad demostrada): capacidad de probar cumplimiento con evidencia. Superintendencia de Industria y Comercio
  • Privacy by design/by default: privacidad incorporada desde el diseño y por defecto. Superintendencia de Industria y Comercio
  • DPIA (estudio de impacto de privacidad): evaluación documentada de riesgos y mitigaciones. Superintendencia de Industria y Comercio
  • Differential privacy: técnicas para analizar datos sin revelar información individual. Superintendencia de Industria y Comercio
  • RAG: recuperación de información + generación (reduce entrenamiento, aumenta superficie de fuga si se hace mal).
  • Data minimization: recolectar/usar solo lo necesario para la finalidad.
  • Drift: degradación del comportamiento del modelo por cambios en datos/contexto.
  • Reidentificación: volver identificable a alguien desde datos “anonimizados” o combinados.

In WIRED, Jason Kehe drops a simple line: "People still read", and builds a mini reading list where "Moderation" (about content moderation work) sits alongside harsh critiques of "cyberlibertarianism" and libertarian tech culture. WIRED+1
In Colombia, that same word—moderation—is no longer literary: the SIC formalized guidelines for the processing of personal data in AI systems (Circular Externa 002 of 2024). This brings the debate down to concrete obligations: demonstrable accountability, weighing (suitability/necessity/reasonableness/proportionality), risk management, privacy impact assessments, and technical measures like differential privacy. Superintendencia de Industria y Comercio+2Superintendencia de Industria y Comercio+2
Meanwhile, Colombia Tech Week is growing fast (attendees, funds, companies) and wants to sell us a narrative: "Colombia as a global tech hub". That promise only scales if the country can prove it can innovate without burning trust. El País

What Happened and Why It Matters (facts and sources)

  • The SIC published Circular Externa 002 on August 21, 2024 with specific guidelines for processing personal data when developing, deploying, or using AI systems. Superintendencia de Industria y Comercio+1
  • The Circular insists on "demonstrated accountability" and privacy by design and by default, with emphasis on applying techniques during AI training that prevent the identification of individuals. Superintendencia de Industria y Comercio+1
  • It requires a weighing process with four criteria (suitability, necessity, reasonableness, and proportionality) and recommends privacy impact assessments when risk is high. Superintendencia de Industria y Comercio
  • It clarifies a point that many teams "conveniently forget": "publicly accessible" does not mean "public data", and being on the internet does not enable free use without authorization. Superintendencia de Industria y Comercio
  • Colombia Tech Week reports strong growth: in 2024 it hosted +150 events and +11,000 attendees; in 2025 it exceeded 260 events and 20,600 attendees, with participation from international funds and investors. El País
  • In parallel, WIRED uses reading (and a novel about moderation) to remind us that tech culture is also debated in books, not just in pitches. WIRED+1

Why it matters: because a "tech hub" cannot be sustained by events and capital alone. It is sustained by trust infrastructure: properly handled data! (Yes, a shout), auditable AI, and teams capable of demonstrating compliance when the SIC comes knocking... or when an enterprise client asks for due diligence.

Technical Analysis (how it works; architecture/algorithm; limits)

A "real" AI system (not the polished demo) typically has this pipeline:

  1. Ingestion: CRM/call center, documents, chats, usage signals.
  2. Preparation: cleaning, labeling, embeddings, feature store.
  3. Training / fine-tuning (or prompt+RAG): where the risk of re-identification and leakage becomes serious.
  4. Inference: the model responds, recommends, or decides (partially or fully).
  5. Monitoring: drift, biases, incidents, logging, traceability.

The Circular requires you to design this with a demonstrable accountability mindset: "having policies" is not enough — you need evidence (controls, audits, documentation). Superintendencia de Industria y Comercio+1

Typical technical limits (and where promises break down):

  • Data leakage via prompts, logs, or poorly segregated datasets.
  • Model inversion / membership inference (more likely when training on sensitive data).
  • Biases + automated decisions without sufficient explanation (and without impact assessment).
  • "Scraping" of "public" data that is actually not public (and that is where you run into the SIC). Superintendencia de Industria y Comercio

Here is one analogy (just one): your model might be a Ferrari, but if it has no brakes (data governance), it is not innovation: it is a crash waiting to happen.

Impact for Colombia/Bogotá/LatAm (regulation, costs, local providers)

  • Regulation: the SIC is setting the boundaries: AI yes, but with weighing, risk, security and evidence. This directly affects banks, retail, healthcare, govtech, and any startup that touches personal data in Colombia. Superintendencia de Industria y Comercio+1
  • Costs: implementing "privacy by design" costs money (DPIA, controls, logging, hardening, governance), but the cost of NOT doing it is worse: commercial friction, lost enterprise deals, and exposure to investigation/sanctions.
  • Bogotá ecosystem: Colombia Tech Week is trying to convert networking into capital and programs (e.g., acceleration with local partners). That works better when the country can sell "we are serious about data", not just "we are affordable and talented". El País

Risks and Trade-offs (security, privacy, lock-in, hidden costs)

  • Security vs. speed: "ship fast" in AI without controls raises your risk of incidents and rework (and that kills time-to-value).
  • Privacy vs. performance: techniques like differential privacy can introduce noise and reduce accuracy, but they raise protection and governance. Superintendencia de Industria y Comercio
  • Lock-in: if your architecture is married to a single vendor (models, tooling, pipelines), the exit can be very expensive. Design contracts + abstractions (APIs, logging standards, data portability).
  • Hidden costs: log storage, egress, key rotation, data retention, and the "shadow team" that ends up sustaining compliance on the fly.

Actionable Checklist (CTOs/CIOs/architects, this needs to be done)

  • Define and document the purpose + legal basis for processing (and make sure it survives an audit).
  • Carry out the weighing: suitability / necessity / reasonableness / proportionality and keep it on file as evidence. Superintendencia de Industria y Comercio
  • Classify data (public/semi-private/private/sensitive) and do NOT assume that "on the internet = public". Superintendencia de Industria y Comercio
  • If there is high risk: conduct a privacy impact assessment (DPIA) with operations, risks, and mitigations. Superintendencia de Industria y Comercio
  • Minimize data + apply privacy by design (tokenization, pseudonymization, least-privilege access, environment segregation). Superintendencia de Industria y Comercio
  • Evaluate differential privacy (central or local) when conducting analytics/training with personal data. Superintendencia de Industria y Comercio
  • Harden the platform: auditable logging, access controls, key management, retention policies, and leakage testing (prompt/RAG red teaming).
  • Align with the business: without data governance, your AI is not a "product"; it is a legal and reputational liability.

Mini-Glossary (5–10 key terms)

  • Accountability (demonstrated responsibility): the ability to prove compliance with evidence. Superintendencia de Industria y Comercio
  • Privacy by design/by default: privacy built in from the design stage and enabled by default. Superintendencia de Industria y Comercio
  • DPIA (privacy impact assessment): a documented evaluation of risks and mitigations. Superintendencia de Industria y Comercio
  • Differential privacy: techniques for analyzing data without revealing individual information. Superintendencia de Industria y Comercio
  • RAG: information retrieval + generation (reduces training, increases leakage surface if done poorly).
  • Data minimization: collect/use only what is necessary for the stated purpose.
  • Drift: degradation of model behavior due to changes in data/context.
  • Re-identification: making someone identifiable again from "anonymized" or combined data.
Hablemos de tu idea → Tell us your idea →