Colombia no tiene una ley vinculante de IA y el reglamento europeo no le aplica. Lo que de verdad obliga a las empresas es la Ley 1581 de 2012 y las reglas sectoriales — explicado con claridad.
dgm es un socio independiente de implementación de osFoundry — no está afiliada a la empresa que desarrolla osFoundry, y aún no ha completado ningún proyecto de integración para clientes. Por eso este artículo describe los servicios que ofrece dgm, no trabajos anteriores.
Colombia y el reglamento europeo: dos marcos distintos
La diferencia más importante es sencilla: el Reglamento Europeo de IA no aplica en Colombia, y Colombia no tiene una ley vinculante de IA. Por eso, una empresa colombiana que traslade el marco europeo al pie de la letra corre el riesgo de exagerar y de pasar por alto lo que de verdad la obliga.
En 2026 Colombia no tiene una ley horizontal de inteligencia artificial vigente y vinculante — y como Colombia no es miembro de la Unión Europea, el Reglamento Europeo de IA (EU AI Act) tampoco le aplica. El enfoque colombiano es de política pública y reglas sectoriales: la CONPES 4144 (Política Nacional de Inteligencia Artificial, aprobada el 14 de febrero de 2025) es un documento de política, no una ley, con una hoja de ruta a 2030; la precede la CONPES 3975 de 2019; y existe el Marco Ético para la IA del MinTIC (2021), que es voluntario. Un proyecto de ley que regularía la IA de forma vinculante (Proyecto de Ley 043 de 2025 Senado / 324 de 2025 Cámara) sigue estancado en comisión, sin ser aprobado. Por lo tanto, lo que realmente obliga a las empresas es la Ley 1581 de 2012 de protección de datos más las reglas de cada sector — no una «ley de IA» ni el reglamento europeo. Conviene seguir el avance del proyecto de ley.
Entonces, ¿qué obliga de verdad a una empresa colombiana?
En materia de datos, la norma que aplica en Colombia es la Ley Estatutaria 1581 de 2012 (Habeas Data), junto con el Decreto 1377 de 2013 — es una ley colombiana propia, no es el GDPR europeo. Exige una autorización previa, expresa e informada del titular antes de tratar sus datos, vincular el tratamiento a una finalidad declarada, dar protección reforzada a los datos sensibles, y respetar los derechos a conocer, actualizar, rectificar y suprimir. La autoridad es la Superintendencia de Industria y Comercio (SIC), a través de su Delegatura para la Protección de Datos Personales, con multas de hasta 2.000 SMMLV por infracción (un proyecto de reforma propone elevarlas, pero aún no es ley). Las empresas con activos superiores a 100.000 UVT (COP $5.237.400.000 en 2026) deben inscribir sus bases en el Registro Nacional de Bases de Datos (RNBD). Las transferencias internacionales se rigen por un modelo de adecuación (Circular 002 de 2025): solo se permiten a países con un nivel adecuado de protección, salvo excepción o declaración de conformidad de la SIC. Y la Circular Externa 002 de 2024 de la SIC confirma que los sistemas de IA están plenamente sujetos a la Ley 1581: las decisiones automatizadas no eximen de responsabilidad legal a la empresa que las despliega.
Junto a la Ley 1581 hay regulación sectorial — la Superintendencia Financiera (banca y fintech), el INVIMA (dispositivos médicos) y la CRC (telecomunicaciones) — que opera mediante circulares y lineamientos, no mediante una ley dedicada a la IA.
Para las empresas que operan a través de fronteras
Si además atiendes a clientes en la Unión Europea, podrías quedar sujeto a su reglamento de IA para esa parte, mientras que en Colombia cumples la Ley 1581 y las reglas sectoriales — separa los dos ámbitos con claridad.
Cómo ayuda dgm
dgm es un socio de implementación independiente que ayuda a las empresas colombianas a poner en marcha osFoundry — desde elegir el primer caso de uso de valor, hasta la implementación real y la conexión con los sistemas que ya usas. dgm ayuda a las empresas colombianas a establecer una gobernanza de IA acorde con la Ley 1581 y las reglas sectoriales que de verdad aplican, no con un marco que no rige en Colombia. dgm no está afiliada a la empresa que desarrolla osFoundry y aún no ha completado ningún proyecto de integración para clientes; por eso lo aquí descrito es el servicio que ofrece dgm, no trabajos anteriores. Si quieres definir el alcance de un primer proyecto realista, dgm puede trabajarlo contigo.