Qué significa la Directiva Conjunta No. 007 de 2025 y por qué marcará un antes y un después para el uso de algoritmos en Colombia

El 30 de septiembre de 2025, la Procuraduría General de la Nación y la Defensoría del Pueblo emitieron la Directiva Conjunta No. 007, estableciendo los primeros estándares nacionales sobre transparencia algorítmica en el Estado colombiano.
Este documento, inspirado en la Sentencia T-067 de 2025 de la Corte Constitucional y en los lineamientos de la OCDE y la UNESCO, marca un hito: por primera vez, se exige al sector público rendir cuentas sobre cómo funcionan sus algoritmos.

En otras palabras, el Estado colombiano reconoce oficialmente que los algoritmos también deben ser explicables, auditables y comprensibles para la ciudadanía.

⚖️ El origen: un mandato constitucional

La Corte Constitucional, en la sentencia T-067 de 2025, declaró que la transparencia algorítmica es parte esencial del derecho de acceso a la información pública.
Esto significa que toda persona tiene derecho a conocer:

  • Qué algoritmos utiliza el Estado.
  • Cómo funcionan.
  • Qué decisiones automatizadas producen.
  • Qué impacto tienen sobre los derechos ciudadanos.

A partir de esa decisión, la Corte ordenó al Ministerio Público (Procuraduría, Defensoría y Agencia Nacional Digital) expedir estándares obligatorios para garantizar que el uso de algoritmos públicos sea ético, responsable y comprensible.

Qué cubre la Directiva 007

Los estándares se aplican a todas las entidades públicas y también a personas o empresas privadas que ejerzan funciones públicas o manejen recursos estatales.
Esto incluye desde ministerios y alcaldías hasta operadores tecnológicos y contratistas que provean sistemas basados en inteligencia artificial al Estado.

Los sistemas sujetos a la norma incluyen:

  • Algoritmos de decisión automatizada (por ejemplo, asignación de subsidios o priorización de beneficiarios).
  • Modelos de inteligencia artificial (IA) usados para predecir, clasificar o recomendar.
  • Plataformas que recojan o procesen datos personales, geolocalización o información sensible.

Los siete principios que definen la transparencia algorítmica

1️⃣ Primacía de los derechos fundamentales
Antes de implementar un algoritmo, la entidad debe analizar su impacto sobre la igualdad, la privacidad, el debido proceso y la libertad de expresión.

2️⃣ Prevalencia del interés general
Los algoritmos deben diseñarse para servir al interés público, no a intereses particulares o comerciales.

3️⃣ Explicabilidad
Cada sistema debe poder explicar cómo llega a sus resultados, con lenguaje claro, trazabilidad y documentación técnica disponible.

4️⃣ Lenguaje claro
La información sobre el algoritmo debe publicarse en lenguaje comprensible para la ciudadanía, no solo para ingenieros.

5️⃣ Máxima divulgación
Los sistemas deben publicarse proactivamente en sitios web oficiales, indicando su nombre, propósito, tipo de datos usados, proveedor y contacto.

6️⃣ Ajustes razonables
La información debe ser accesible a personas con discapacidad, mediante formatos y canales adecuados.

7️⃣ Protección de datos personales
Toda implementación debe cumplir las leyes 1581 de 2012 y 1266 de 2008 sobre tratamiento de datos.

Qué debe publicar una entidad que use algoritmos

De ahora en adelante, los organismos del Estado deberán divulgar —en lenguaje claro y con actualización anual— al menos:

  • Nombre del sistema y su objetivo.
  • Tipo de datos que utiliza (texto, imágenes, biometría, localización, etc.).
  • Fase del sistema (desarrollo, implementación, suspensión).
  • Empresa o entidad desarrolladora.
  • Canales de contacto para objeciones o consultas.
  • Si el sistema usa datos personales y cómo los protege.

Y si el sistema decide sobre temas sensibles (subsidios, beneficios, salud, educación o seguridad), deberá publicar criterios de decisión, análisis de impacto y medidas de mitigación de sesgos.

El acceso al código fuente y las “explicaciones significativas”

Por primera vez, las entidades deberán permitir auditorías externas o brindar explicaciones significativas sobre cómo funciona un algoritmo público.
Incluso se podrá solicitar el código fuente, salvo que exista una causa legal de reserva.
Si se entrega, el solicitante debe firmar un acta comprometiéndose a no usarlo con fines comerciales o para vulnerar la seguridad del Estado.

Qué implica para el ecosistema tecnológico y para plataformas como Kuenta

Aunque la Directiva 007 está dirigida principalmente al sector público, su impacto se extiende al ecosistema de proveedores de tecnología y datos, incluyendo empresas fintech y de inteligencia artificial que trabajen con el Estado.

Para una plataforma como Kuenta, que desarrolla tecnología de validación de identidad, scoring y firma electrónica, esta directiva refuerza la importancia de:

  • Explicar cada decisión automatizada (por ejemplo, por qué una solicitud de crédito fue rechazada).
  • Auditar periódicamente los modelos de IA y documentar sus sesgos y mitigaciones.
  • Registrar los datos usados para entrenamiento y justificar su pertinencia.
  • Garantizar el derecho de objeción y revisión humana para cualquier decisión automatizada que afecte derechos.

️ Un nuevo paradigma para el Estado digital

Colombia se une así a países como Canadá, Francia y España, donde ya existen guías de transparencia algorítmica.
La diferencia es que, en este caso, la transparencia no es voluntaria, sino obligatoria, y tiene rango constitucional.

El mensaje es claro:

Si el Estado usa algoritmos, la ciudadanía tiene derecho a saber cómo piensan.

✍️ Conclusión

La Directiva 007 de 2025 inaugura una nueva etapa en la relación entre inteligencia artificial, transparencia y derechos humanos en Colombia.
Los algoritmos públicos deberán rendir cuentas, explicar sus decisiones y estar abiertos al escrutinio social, algo impensable hace apenas unos años.

El futuro del Estado digital será transparente, o no será.

Kuenta: Validación de identidad | Firma electrónica | Créditos.
Tecnología confiable, trazable y ética —porque la transparencia también se programa.