Habeas Data 2026: lo que cambia para sistemas de agentes autónomos Habeas Data 2026: what changes for autonomous agent systems

La Ley 1581 de 2012 y sus decretos reglamentarios (el "Habeas Data" colombiano) fueron diseñados para un mundo donde los datos personales eran recopilados por humanos, almacenados en bases de datos relacionales y procesados por software determinístico. La IA generativa y los sistemas de agentes autónomos introducen tres dimensiones que el marco original no contempló y que la SIC (Superintendencia de Industria y Comercio) está comenzando a regular de forma activa en 2026.

La primera es la inferencia no explícita. Un agente de IA que procesa el historial de compras de un afiliado puede inferir información sensible (situación financiera, comportamiento de pago, preferencias) que el titular nunca consintió compartir explícitamente. La posición de la SIC, según concepto de febrero de 2026, es que estas inferencias tienen el mismo tratamiento que los datos de origen si son "suficientemente determinantes de la conducta del titular". Las empresas deben documentar qué inferencias realizan sus modelos.

La segunda es la delegación de decisiones. Cuando un agente autónomo aprueba una cotización, rechaza una solicitud de crédito o escalona un caso de soporte, ¿quién es el responsable del tratamiento? La SIC ha adoptado el principio de "accountability no delegable": el responsable legal sigue siendo el empresa que desplegó el agente, independientemente de que el modelo sea de un tercero (OpenAI, Anthropic, Google). Esto tiene implicaciones directas en los contratos con proveedores de infraestructura de IA.

La tercera es la portabilidad de datos procesados por modelos. El derecho a la portabilidad contemplado en la ley colombiana incluye ahora, según interpretación de 2026, los "datos derivados" que un modelo haya generado sobre el titular. En términos prácticos: si su agente construyó un perfil de riesgo sobre un prospecto, ese prospecto tiene derecho a solicitar ese perfil.

¿Cómo se opera en cumplimiento sin parálisis? Tres medidas concretas.

Primero: logging total de decisiones del agente, con timestamp y razonamiento resumido accesible para auditoría. Esto cumple tanto con Habeas Data como con los requisitos de trazabilidad de GDPR si hay clientes europeos.

Segundo: acuerdos "no-training" contractuales verificables con cada proveedor de modelo. OpenAI Enterprise, Anthropic y Google Vertex ofrecen estos acuerdos; deben estar firmados antes de procesar datos de personas naturales.

Tercero: mecanismo de supresión automática. El sistema debe poder eliminar todos los datos de un titular (incluyendo vectores y embeddings) en respuesta a una solicitud de supresión, en un plazo máximo de 72 horas desde la recepción. Esto requiere que la arquitectura mantenga un índice de qué datos de qué titular están en qué sistema.

El cumplimiento no es optativo ni diferible. Pero tampoco requiere detener el despliegue: requiere arquitectura correcta desde el inicio.

Law 1581 of 2012 and its regulatory decrees (the Colombian "Habeas Data") were designed for a world where personal data was collected by humans, stored in relational databases and processed by deterministic software. Generative AI and autonomous agent systems introduce three dimensions that the original framework did not contemplate and that the SIC (Superintendencia de Industria y Comercio) is beginning to actively regulate in 2026.

The first is non-explicit inference. An AI agent that processes a member's purchase history can infer sensitive information (financial situation, payment behavior, preferences) that the data subject never explicitly consented to share. The SIC's position, according to a February 2026 concept, is that these inferences have the same treatment as source data if they are "sufficiently determinant of the behavior of the data subject". Companies must document what inferences their models make.

The second is the delegation of decisions. When an autonomous agent approves a quote, rejects a credit application, or escalates a support case, who is responsible for the processing? The SIC has adopted the principle of "non-delegable accountability": the legal responsible party remains the company that deployed the agent, regardless of whether the model belongs to a third party (OpenAI, Anthropic, Google). This has direct implications for contracts with AI infrastructure providers.

The third is the portability of data processed by models. The right to portability contemplated in Colombian law now includes, according to the 2026 interpretation, the "derived data" that a model has generated about the data subject. In practical terms: if your agent built a risk profile on a prospect, that prospect has the right to request that profile.

How do you operate in compliance without paralysis? Three concrete measures.

First: total logging of agent decisions, with timestamp and summarized reasoning accessible for auditing. This complies with both Habeas Data and GDPR traceability requirements if there are European clients.

Second: verifiable contractual "no-training" agreements with each model provider. OpenAI Enterprise, Anthropic, and Google Vertex offer these agreements; they must be signed before processing data of natural persons.

Third: automatic deletion mechanism. The system must be able to delete all data of a data subject (including vectors and embeddings) in response to a deletion request, within a maximum period of 72 hours from receipt. This requires the architecture to maintain an index of which data of which data subject is in which system.

Compliance is neither optional nor deferrable. But it doesn't require stopping deployment: it requires correct architecture from the start.