1. Inicio
  2. Artículos
  3. Inteligencia Artificial y Derecho en Colombia: responsabilidad, propiedad intelectual y regulación emergente

Inteligencia Artificial y Derecho en Colombia: responsabilidad, propiedad intelectual y regulación emergente

Inteligencia Artificial y Derecho en Colombia: responsabilidad, propiedad intelectual y regulación emergente

El Proyecto de Ley 043 de 2025 sobre regulación integral de IA se encuentra estancado en fase de comisión en el Congreso, a pesar de contar con mensaje de urgencia del presidente Petro. La Ley 2502 de 2025 es la única norma vigente que regula conductas relacionadas con IA en Colombia, y sus sanciones plenas entran en vigor en julio de 2026.

Resumen ejecutivo

La inteligencia artificial ha dejado de ser una promesa futura para convertirse en un factor de producción presente en contratos, decisiones clínicas, creaciones artísticas y relaciones laborales. Su irrupción en la vida jurídica colombiana plantea tres interrogantes de fondo que ningún operador del derecho puede ignorar: quién responde cuando un sistema autónomo causa un daño, a quién pertenecen las obras que genera un algoritmo y cómo se está preparando el ordenamiento jurídico colombiano para encauzar esta transformación. Este artículo examina el estado actual del derecho colombiano frente a esos tres interrogantes, identifica los vacíos normativos más urgentes y analiza el proceso legislativo en curso, con referencias comparadas al Reglamento de IA de la Unión Europea y los estándares de la UNESCO y la OCDE.

El problema jurídico: cuando el que actúa no puede responder

El derecho moderno reposa sobre un axioma tan antiguo como el propio concepto de responsabilidad: quien causa un daño debe repararlo. Este principio exige, en primer lugar, identificar un sujeto capaz de ser titular de obligaciones jurídicas. El derecho colombiano, como todos los sistemas de tradición romanista, reconoce como tales a las personas naturales y a las personas jurídicas. Las máquinas, los animales y los algoritmos no forman parte de esa categoría.

La inteligencia artificial tensiona este axioma de una manera sin precedentes. Un modelo de aprendizaje profundo puede tomar decisiones que afectan el patrimonio, la salud o la honra de una persona sin que ningún ser humano haya tomado esa decisión específica. El algoritmo actúa, pero no responde. El programador no tomó esa decisión. El usuario no la anticipó. El proveedor de datos de entrenamiento ignoraba que su contribución conduciría a ese resultado. Y el comprador del sistema pensaba que adquiría una herramienta, no un agente autónomo de potenciales daños.(1)

Este escenario no es hipotético. Es la descripción de lo que ya ocurre en Colombia y en el mundo: sistemas de IA que niegan créditos con base en correlaciones estadísticamente injustas, modelos generativos que crean contenido difamatorio, algoritmos médicos que recomiendan tratamientos inadecuados, plataformas de reconocimiento facial que identifican erróneamente a personas inocentes. El derecho colombiano vigente no tiene respuesta expresa para ninguno de estos casos.

"La IA no es sujeto de derechos, y por tanto no puede contraer obligaciones, tampoco es posible atribuirle responsabilidad, lo que abre la puerta a debates sobre la subsunción de varias instituciones de la responsabilidad civil para la resolución de los casos relacionados con su uso. Centro de Estudios sobre Genética y Derecho, Universidad Externado de Colombia, 2026".

Responsabilidad civil por daños causados por IA en Colombia

1. El marco existente y sus limitaciones: El régimen colombiano de responsabilidad civil se articula en dos grandes ejes: la responsabilidad contractual, derivada del incumplimiento de obligaciones pactadas entre partes, y la responsabilidad extracontractual, que surge cuando una persona causa daño a otra sin vínculo previo entre ellas. Ambos tipos exigen la concurrencia de tres elementos: un hecho generador, un daño antijurídico y un nexo causal entre ambos.(2)

Cuando interviene un sistema de IA, los tres elementos se vuelven elusivos. El hecho generador puede ser difuso: el daño resulta de la interacción entre el código del desarrollador, los datos de entrenamiento del proveedor, las instrucciones de configuración del usuario corporativo y las condiciones del caso concreto. El daño puede ser continuo e imperceptible hasta que se acumula. Y el nexo causal puede estar oscurecido por la opacidad propia de los modelos de caja negra, cuya lógica interna no puede reconstruirse ni por sus propios creadores.

2. Los posibles sujetos de responsabilidad: 

ActorFundamento de imputación posibleLimitación principal
Desarrollador del sistemaResponsabilidad por producto defectuoso (Ley 1480 de 2011, art. 20). Culpa in vigilando por diseño inadecuado.La Ley 1480 define "producto" como bien mueble o inmueble. La IA como servicio o software puede no encuadrar.
Proveedor de datos de entrenamientoContribución causal al sesgo o error del modelo. Responsabilidad solidaria en cadena de valor.Dificultad para establecer nexo causal entre datos específicos y decisión dañina del modelo.
Empresa que despliega el sistemaResponsabilidad por actividades peligrosas (art. 2356 C.C.). Deber de vigilancia sobre herramientas bajo su control.No siempre puede verificar ni controlar el comportamiento emergente del modelo que adquirió.
Usuario finalCulpa por uso inadecuado. Consentimiento sobre riesgos conocidos.El usuario suele carecer de conocimiento técnico para anticipar los riesgos del sistema.

3. La Ley 1480 de 2011 como referente imperfecto: La investigación doctrinal más reciente concluye que el régimen colombiano de productos defectuosos, consagrado en la Ley 1480 de 2011 (Estatuto del Consumidor), ofrece bases parciales pero insuficientes para atribuir responsabilidad por daños de IA. Sus limitaciones son estructurales: la noción de "producto defectuoso" no fue concebida para sistemas que aprenden y modifican su comportamiento, la identificación del "defecto" en un modelo de lenguaje de gran escala es técnicamente compleja, y la cadena de sujetos responsables en la industria de IA no corresponde al modelo lineal fabricante-distribuidor-consumidor que la ley asume.(3)

La Directiva (UE) 2024/2853 sobre responsabilidad en materia de IA, que Colombia podría tomar como referente en un proceso de actualización normativa, introduce dos mecanismos correctivos: la presunción de causalidad cuando el demandante demuestra que el sistema no cumplió los requisitos de la regulación, y el derecho de acceso a la información sobre el sistema que causó el daño para facilitar la prueba. Ambos mecanismos están ausentes del derecho colombiano vigente.

Propiedad intelectual y obras generadas por algoritmos

1. La posición del derecho colombiano vigente: La pregunta sobre la titularidad de las obras generadas por inteligencia artificial tiene en Colombia una respuesta clara y uniforme, aunque insatisfactoria para muchos actores del ecosistema creativo: las obras generadas exclusivamente por IA no son susceptibles de protección por derechos de autor bajo el ordenamiento colombiano actual. La razón es conceptual y está expresamente respaldada por la autoridad competente.

Marco normativo de derechos de autor en Colombia y posición de la DNDA
Ley 23 de 1982 y Decisión Andina 351 de 1993: La calidad de autor solo se predica de personas naturales. Las personas jurídicas no son autores, aunque pueden ser titulares de derechos patrimoniales por cesión o como empleadores. Los animales y las máquinas quedan fuera del concepto de autoría.
Posición de la DNDA: La Dirección Nacional de Derecho de Autor ha negado de manera reiterada el registro de obras creadas o asistidas por herramientas de IA, con base en que la calidad de autor exige la existencia de una persona natural como creadora. Esta posición es coherente con los pronunciamientos de la Oficina de Copyright de Estados Unidos y con el criterio mayoritario en la doctrina internacional.(4)
Consecuencia práctica: Una obra generada íntegramente por IA entra al dominio público desde su creación. No existe titular que pueda reclamar derechos sobre ella, a menos que un ser humano haya realizado contribuciones creativas originales en su elaboración.

2. La zona gris: obras co-creadas con IA

El escenario de mayor relevancia práctica no es el de la obra puramente automatizada, sino el de la obra co-creada: aquella en la que un ser humano utiliza herramientas de IA como parte de su proceso creativo. Un compositor que define la estructura emocional de una pieza y corrige el output de una herramienta generativa, un diseñador gráfico que selecciona y transforma imágenes producidas por un modelo difuso, un escritor que edita y reorganiza el texto sugerido por un modelo de lenguaje. En todos estos casos, la contribución humana puede ser suficiente para reclamar autoría, pero la frontera no está trazada normativamente en Colombia.

El criterio que emerge de la práctica administrativa y la doctrina es el de la "creatividad humana determinante": si la selección, disposición, edición o transformación realizadas por el ser humano implican una expresión original de su personalidad, la obra resultante puede ser protegida, atribuyendo la autoría exclusivamente a esa persona, no al sistema de IA. La contribución algorítmica es, en este modelo, equivalente al uso de una herramienta técnica como un pincel o un procesador de texto.

3. El problema de los datos de entrenamiento

Existe una segunda dimensión, igualmente relevante para empresas y creadores, que apunta en dirección opuesta: ¿qué ocurre cuando el modelo de IA fue entrenado con obras protegidas sin autorización de sus autores? Esta pregunta ha dado lugar a litigios de gran envergadura en Estados Unidos y Europa, pero no ha tenido aún pronunciamiento judicial o administrativo significativo en Colombia. La ausencia de regulación no implica la ausencia de riesgo: el uso no autorizado de obras protegidas para entrenar modelos comerciales podría configurar infracción de derechos patrimoniales de autor bajo la Ley 23 de 1982, con independencia de que el resultado generado sea novedoso.(5)

"La titularidad de los derechos sobre las obras que elabore la inteligencia artificial, la eventual infracción de derechos de terceros al valerse la IA de obras legalmente protegidas, y la originalidad de sus contenidos son aspectos que ocuparán la atención de doctrinantes y jueces en los próximos tiempos. Superintendencia de Industria y Comercio de Colombia, noviembre 2023".

El derecho penal colombiano y la IA: la Ley 2502 de 2025

Frente al vacío regulatorio integral sobre IA, el legislador colombiano optó, en un primer momento, por intervenir de manera específica y quirúrgica sobre la dimensión más visible y socialmente urgente del problema: la suplantación de identidad mediante deepfakes.

Ley 2502 del 28 de julio de 2025: primera ley colombiana que regula conductas de IA
Objeto: Modificar el artículo 296 del Código Penal colombiano para introducir una circunstancia agravante específica cuando el delito de falsedad personal se comete mediante el uso de inteligencia artificial, incluyendo la creación de deepfakes y la suplantación de identidad digital.
Definición legal de deepfake: La ley define expresamente el deepfake como "la creación, modificación y utilización de un registro audiovisual, incluyendo fotografías, videos, imágenes o grabaciones de sonido falsos, mediante IA, de manera que el registro parezca auténtico del discurso o conducta real de un individuo."
Consecuencia penal: Cuando la falsedad personal se comete mediante IA, las multas pueden incrementarse hasta en una tercera parte. Las sanciones plenas entran en vigor en julio de 2026, plazo de transición previsto para que la Fiscalía y la Policía Nacional desarrollen los protocolos técnicos de detección e investigación.
Alcance: La norma es el primer reconocimiento legislativo expreso de que la IA puede ser un instrumento de comisión de delitos con consecuencias jurídicas propias. Sin embargo, no crea responsabilidad civil, no regula el mercado de IA ni establece obligaciones para los desarrolladores de estas tecnologías.

Ley 2502 del 28 de julio de 2025: primera ley colombiana que regula conductas de IAObjeto: Modificar el artículo 296 del Código Penal colombiano para introducir una circunstancia agravante específica cuando el delito de falsedad personal se comete mediante el uso de inteligencia artificial, incluyendo la creación de deepfakes y la suplantación de identidad digital.

La Ley 2502 es un avance concreto pero de alcance limitado: resuelve un problema específico y urgente sin abordar la arquitectura regulatoria de fondo que la economía digital colombiana requiere. Su aprobación en el mismo mes que el radicado del PL 043 de 2025 revela la estrategia del legislador: intervención puntual inmediata sobre los riesgos más visibles, seguida de un marco general de mayor complejidad que aún no ha completado su trámite.

El proceso legislativo: PL 043 de 2025 y sus principales disposiciones

El Proyecto de Ley 043 de 2025 (Senado), identificado como 324 de 2025 en Cámara, representa el intento más ambicioso y comprehensivo de Colombia por crear un marco regulatorio integral para la inteligencia artificial. Fue radicado el 28 de julio de 2025 por el Ministerio de Ciencias, Tecnología e Innovación bajo el liderazgo de la ministra Yesenia Olaya, y constituye la síntesis de más de trece iniciativas legislativas previas, con participación de la academia, el sector privado, la sociedad civil y organismos internacionales.(6)

PL 043 de 2025: principales disposiciones del proyecto de ley de IA
Objeto: Promover el desarrollo de infraestructura tecnológica e implementación de IA en Colombia con enfoque ético, inclusivo, responsable y sostenible, que fortalezca capacidades científicas y contribuya a la prevalencia de los derechos fundamentales.
Ámbito de aplicación: Toda persona natural o jurídica, pública o privada, que participe en cualquier etapa del ciclo de vida de un sistema de IA (diseño, desarrollo, implementación, operación, comercialización o uso), cuando el sistema opere en Colombia o emplee datos de origen colombiano.
Principios rectores: El proyecto se inspira en las directrices de la UNESCO, la OCDE y el Reglamento de IA de la Unión Europea. Establece principios de transparencia, explicabilidad, equidad, no discriminación, privacidad, responsabilidad, robustez técnica y supervisión humana.
Gobernanza: Crea el Consejo Nacional de Inteligencia Artificial (CON-IA) para coordinar la regulación sectorial y armonizar las competencias de múltiples entidades supervisoras.
Formación y educación: Incorpora la IA en todos los niveles educativos y fomenta la formación docente con énfasis en la participación de poblaciones históricamente excluidas.

Estado actual del trámite legislativo

  • Junio 2025: Un primer intento fracasa. El proyecto de ley de IA se hunde en la Comisión Sexta del Senado por falta de quórum, a pesar de contar con respaldo político formal.
  • 28 julio 2025: Radicación del PL 043 de 2025. MinCiencias radica el nuevo proyecto, consolidando más de trece iniciativas previas. El mismo día se promulga la Ley 2502 sobre deepfakes.
  • Ago-Dic 2025: Ponencia positiva y mensaje de urgencia. Se publican ponencias positivas en Gacetas 2348 y 2349 de 2025. El presidente Petro presenta mensaje de urgencia, obligando trámite conjunto en comisiones.
  • 2026 hoy: Estancado en comisión. A pesar del mensaje de urgencia, el proyecto aguarda agendamiento y votación del primer debate. El equilibrio entre innovación y control sigue en negociación. 
  • Por definir: Primer debate y promulgación eventual. El cambio de gobierno en 2026 podría relanzar o redefinir la iniciativa. Su aprobación depende de que se resuelva la tensión entre regulación habilitante y regulación restrictiva.

Las brechas del proyecto

El análisis doctrinal señala que, aun cuando el PL 043 sea aprobado en su forma actual, quedarán vacíos normativos que requerirán regulación posterior. Los más urgentes son la ausencia de reglas específicas de responsabilidad civil por daños de IA, la falta de lineamientos para la contratación pública de sistemas de IA, y la tensión entre el mandato de explicabilidad del proyecto y la propiedad intelectual sobre los modelos de los desarrolladores, que protege la lógica interna de sus sistemas de la divulgación obligatoria.(7)

El contexto comparado: AI Act europeo y estándares internacionales

Colombia no legisla en vacío. El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor en agosto de 2024 y establece el modelo regulatorio de mayor alcance hasta la fecha: un sistema de clasificación de riesgos que impone obligaciones proporcionales a la severidad de los daños potenciales de cada aplicación de IA.

  • AI Act (UE) - modelo de riesgos: Clasifica los sistemas de IA en cuatro categorías según el nivel de riesgo: inaceptable (prohibidos), alto riesgo (obligaciones estrictas de transparencia, supervisión y trazabilidad), riesgo limitado (obligaciones de divulgación), y riesgo mínimo (sin obligaciones adicionales). Crea la figura del "proveedor de IA de alto riesgo" con obligaciones de registro, documentación técnica y supervisión post-mercado.
  • PL 043 Colombia - enfoque principialista: Adopta un enfoque principialista más flexible, sin la granularidad del modelo europeo de clasificación de riesgos. Se inspira en el AI Act pero no replica su estructura de obligaciones diferenciadas por categoría. Esta flexibilidad puede ser una ventaja para la innovación o una fuente de incertidumbre jurídica, según se resuelvan los vacíos en la reglamentación secundaria posterior.

En el plano latinoamericano, Colombia se posiciona junto a Brasil, Chile y México como los países con mayor avance en debate regulatorio. El Índice Latinoamericano de Inteligencia Artificial (ILIA 2024) clasifica a Colombia como "país adoptante con capacidades sólidas en gobernanza y regulación", y el PNUD la ha catalogado en etapa "diferenciadora" en su preparación para implementar IA. Esta posición de liderazgo regional otorga al proceso legislativo colombiano una relevancia que trasciende sus fronteras.(8)

Implicaciones prácticas para empresas que implementan IA en ColombiaAnte la ausencia de un marco regulatorio integral, las empresas que ya operan con sistemas de IA en Colombia asumen riesgos jurídicos que pueden gestionarse, pero no ignorarse. Las siguientes recomendaciones corresponden al estándar de diligencia que la situación normativa actual aconseja.

1. Mapeo y clasificación de riesgos: Identificar cada sistema de IA desplegado según el nivel de autonomía, el sector de aplicación y el tipo de decisión que emite. Los sistemas que afectan derechos fundamentales (crédito, salud, empleo, seguridad) requieren el mayor nivel de diligencia.

2. Documentación técnica y trazabilidad: Mantener registros sobre el proveedor del modelo, los datos de entrenamiento, la lógica de funcionamiento y las decisiones adoptadas. Esta documentación será esencial como medio de prueba ante reclamaciones y como base para demostrar diligencia.

3. Cláusulas contractuales con proveedores: Los contratos de adquisición de sistemas de IA deben incluir cláusulas de distribución de responsabilidad por daños, garantías de cumplimiento normativo y obligaciones de actualización ante cambios regulatorios. El silencio contractual genera zonas de riesgo no asignado.

4. Política de uso de IA generativa: Definir expresamente qué contenidos pueden generarse con IA, quién verifica su adecuación antes de publicar, y cómo se gestiona la titularidad de los resultados. La ausencia de política interna expone a la empresa a disputas laborales y de propiedad intelectual.

5. Supervisión humana efectiva: El principio de supervisión humana, recogido tanto en los estándares UNESCO como en el PL 043, protege a la empresa frente a reclamaciones cuando puede demostrar que un ser humano calificado revisó la decisión del algoritmo antes de que produjera efectos.

6. Anticipar el AI Act europeo: Las empresas colombianas que exportan servicios o productos a la Unión Europea ya están sujetas al AI Act si sus sistemas tienen efectos en usuarios europeos. El cumplimiento con el estándar europeo es hoy una ventaja competitiva y mañana una obligación.

Conclusiones y perspectivas regulatorias

El derecho colombiano se encuentra ante la inteligencia artificial en una posición que puede describirse como de tensión productiva: posee instrumentos normativos generales que pueden aplicarse por analogía y extensión, cuenta con una autoridad administrativa activa en materia de propiedad intelectual, acaba de promulgar su primera ley específica sobre conductas de IA, y tiene en trámite un proyecto de regulación integral que, de aprobarse, la situaría a la vanguardia regional. Pero ninguno de esos elementos resuelve todavía los tres interrogantes centrales con los que abrimos este artículo.

La responsabilidad civil por daños de IA sigue sin respuesta legislativa expresa, lo que genera un escenario de litigio incierto para víctimas y responsables por igual. La titularidad de las obras generadas por algoritmos tiene respuesta clara bajo el derecho vigente (no son protegibles), pero esa respuesta puede ser insuficiente para el universo de obras co-creadas que ya son realidad en la industria creativa colombiana. Y el marco regulatorio integral sigue esperando su primer debate en comisión, atrapado en las mismas dificultades de agenda legislativa que han obstaculizado la regulación de la IA en otras latitudes.

La perspectiva más probable para el corto y mediano plazo es un desarrollo en capas: normas sectoriales específicas para IA en salud, finanzas y sector público, promulgadas por entidades como la Superintendencia Financiera y el Ministerio de Salud a través de actos administrativos, mientras el proyecto de ley general completa su trámite. Este modelo, adoptado también en Brasil y Chile, tiene la ventaja de la agilidad y el riesgo de la fragmentación regulatoria.

"El impacto real del PL 043 dependerá críticamente de la reglamentación posterior y de la política pública complementaria que se adopte para convertir la regulación en un motor de innovación, y no en una barrera para el desarrollo tecnológico y productivo del país. INNOS Colombia, análisis del PL 043 de 2025, mayo 2026".

Para el abogado, el reto no es solo normativo: es de competencia técnica. Acompañar a un cliente en la implementación responsable de IA requiere comprender los fundamentos del machine learning, los riesgos de los modelos de lenguaje de gran escala, las implicaciones de los contratos con proveedores de la nube y la lectura jurídica de los estándares internacionales. La frontera entre el asesor legal y el asesor tecnológico se estrecha cada año, y las firmas que no crucen esa frontera quedarán fuera de uno de los mercados de servicios jurídicos de mayor crecimiento proyectado para la próxima década.

Referencias y fuentes

1. Universidad Externado de Colombia, Centro de Estudios sobre Genética y Derecho (2026). "Responsabilidad civil en la era digital: daños causados por inteligencia artificial." Disponible en: geneticayderecho.uexternado.edu.co

2. AJE Colombia (abril 2026). "La responsabilidad civil derivada del uso de inteligencia artificial en Colombia: desafíos para el derecho privado contemporáneo." Disponible en: accolombianlawyers.com

3. Novum Jus, Universidad Católica de Colombia (2026). "Hacia una adaptación de la responsabilidad civil a la inteligencia artificial y su proyección en Colombia: análisis de la Ley 1480 de 2011 frente a la Directiva (UE) 2024/2853." Disponible en: novumjus.ucatolica.edu.co

4. Dirección Nacional de Derecho de Autor (DNDA). Pronunciamientos sobre obras generadas por IA. Disponible en: derechodeautor.gov.co. Véase también: Ríos Ruiz, W. R. "Autoría y titularidad de las creaciones realizadas o generadas con inteligencia artificial." Ámbito Jurídico, 2025.

5. Superintendencia de Industria y Comercio de Colombia (noviembre 2023). "La inteligencia artificial y la propiedad intelectual." Ruta PI. Disponible en: sic.gov.co

6. Ministerio de Ciencia, Tecnología e Innovación (julio 2025). "Colombia le vuelve a apostar al uso ético de la inteligencia artificial: MinCiencias radica nuevo proyecto de ley." Disponible en: minciencias.gov.co

7. INNOS Colombia (mayo 2026). "Colombia avanza hacia un marco regulatorio para la inteligencia artificial: oportunidades y retos del Proyecto de Ley 043 de 2025." Disponible en: innos.co

8. AmCham Colombia (agosto 2025). "Proyecto de ley sobre inteligencia artificial: elementos clave de la regulación en Colombia." Disponible en: amchamcolombia.co

9. Brigard Urrutia (agosto 2025). "Novedades regulatorias en materia de IA en Colombia." Disponible en: bu.com.co

10. Colombia. Ley 2502 del 28 de julio de 2025. Disponible en: suin-juriscol.gov.co

inteligencia artificial derecho Colombia responsabilidad civil IA Colombia propiedad intelectual obras IA deepfakes Colombia ley PL 043 2025 Colombia Ley 2502 2025 DNDA inteligencia artificial regulación IA Latinoamérica AI Act Colombia algoritmos responsabilidad
El Registro PSAV ante la Superintendencia Financiera de Colombia: Arquitectura Normativa, Cumplimiento y Perspectivas de Desarrollo del Ecosistema Digital
Qué es un Contrato Inteligente y qué Validez Legal tiene en Colombia
La CLARITY Act: Anatomía del Marco Regulatorio Global para Activos Digitales