El día de hoy, 9 de setiembre de 2025, se ha publicado en el Diario Oficial El Peruano el Decreto Supremo N° 115-2025-PCM, que aprueba el esperado Reglamento de la Ley N° 31814, «Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país». Esta norma establece las disposiciones clave para el desarrollo, implementación y uso de sistemas de Inteligencia Artificial (IA) en Perú, creando un marco de gobernanza que impactará tanto al sector público como al privado.
El Reglamento entrará en vigencia a los noventa (90) días hábiles siguientes a su publicación. A continuación, resumimos los puntos más relevantes para su organización.
1. Enfoque Basado en Riesgos
El Reglamento clasifica los sistemas basados en IA según su nivel de riesgo, estableciendo obligaciones diferenciadas para cada categoría.
- Uso Indebido (Prohibido): Se prohíbe el uso de sistemas de IA que impacten de manera negativa e irreversible en los derechos fundamentales. Esto incluye sistemas con capacidad letal autónoma, vigilancia masiva sin base legal, o aquellos que influyan de manera engañosa en la toma de decisiones de las personas.
- Uso de Riesgo Alto: Son sistemas cuyo uso supone un riesgo significativo para la vida, la dignidad y los derechos de las personas, pero que pueden ser utilizados si cumplen con condiciones y controles estrictos. Se incluyen aquí sistemas para la gestión de activos críticos (energía, salud, banca), evaluación en procesos educativos, selección de personal, y evaluación crediticia, entre otros.
- Riesgo Aceptable: Todos los demás sistemas de IA que no encajan en las categorías anteriores se consideran de riesgo aceptable, debiendo igualmente cumplir con las disposiciones generales de la Ley y el Reglamento.
2. Obligaciones para el Sector Privado
El Reglamento establece un conjunto de obligaciones y buenas prácticas para los desarrolladores e implementadores de sistemas de IA en el sector privado.
Obligaciones Generales
- Políticas Claras: Deben establecer políticas y protocolos internos para garantizar la seguridad, privacidad, transparencia y rendición de cuentas, tomando como referencia estándares técnicos.
- Educación Interna: Se debe fomentar la concientización de los colaboradores sobre los riesgos y el uso seguro, responsable y ético de la IA.
Para Sistemas de Riesgo Alto
- Registro de Funcionamiento: Mantener un registro actualizado y accesible sobre el funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo.
- Supervisión Humana: Es obligatorio implementar mecanismos de supervisión humana en sistemas que tomen decisiones con impacto significativo en sectores como salud, educación o finanzas. El personal a cargo debe estar capacitado y tener la autoridad para detener, corregir o invalidar las decisiones del sistema de IA.
- Transparencia Algorítmica: Se debe informar al usuario de forma clara sobre la finalidad y funcionalidades del sistema de IA antes de su uso. Esto puede incluir el etiquetado visible para que los usuarios sepan que interactúan con una IA.
- Evaluación de Impacto (Voluntaria): Se recomienda realizar, de forma voluntaria, un análisis de impacto para identificar y minimizar riesgos antes de la implementación. En caso de realizarse, los hallazgos y medidas correctivas deben documentarse y conservarse por un mínimo de tres años. La SGTD promoverá reconocimientos para quienes realicen esta evaluación.
3. Obligaciones para el Sector Público
Las entidades de la Administración Pública enfrentan obligaciones más estrictas para garantizar un uso responsable de la IA.
- Política Institucional: Deberán aprobar una política interna sobre el uso seguro, responsable y ético de la IA.
- Estándares Técnicos: El desarrollo de sistemas de IA deberá usar obligatoriamente la Norma Técnica Peruana NTP-ISO/IEC 42001:2025.
- Código Fuente Abierto: El código fuente de los sistemas de IA financiados con fondos públicos deberá publicarse en la Plataforma Nacional de Software Público Peruano.
- Evaluación de Impacto (Obligatoria): Previo al desarrollo o implementación de un sistema de riesgo alto, es obligatorio realizar un análisis de impacto para identificar y minimizar riesgos sobre los derechos fundamentales.
- Supervisión Humana: Al igual que el sector privado, deben implementar mecanismos de supervisión humana para sistemas de riesgo alto en sectores críticos.
4. Mecanismo de Supervisión y Sanción Indirecta
El Reglamento establece un sistema de supervisión y reporte a cargo de la Secretaría de Gobierno y Transformación Digital (SGTD). Ante un incumplimiento, la SGTD actuará de la siguiente manera:
- Supervisión a Entidades Públicas:
- Si la SGTD detecta un incumplimiento por parte de una entidad pública,
reportará el caso a la Contraloría General de la República (CGR) para que esta inicie las acciones correspondientes contra los funcionarios responsables.
- Supervisión al Sector Privado y Público (Vulneración de Derechos):
- Cuando la SGTD tome conocimiento de una presunta vulneración a la propiedad intelectual, a la protección de datos personales, o la afectación de otros derechos fundamentales,
comunicará el hecho a las autoridades competentes para que inicien las acciones de fiscalización y sanción que correspondan.
- Monitoreo y Alertas:
- La SGTD, a través del Centro Nacional de Seguridad Digital, monitoreará de forma preventiva los sistemas de IA de uso indebido y de riesgo alto. Podrá
requerir información y remitir recomendaciones o alertas técnicas para evaluar el funcionamiento y los riesgos de dichos sistemas.
¿Qué entidades pueden sancionar?
El Reglamento habilita a la ciudadanía a denunciar ante las siguientes entidades, las cuales sí tienen potestad sancionadora en sus respectivos ámbitos:
- Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI): En casos de afectación a los consumidores o competencia desleal.
- División de Investigación de Ciberdelincuencia de la Policía Nacional: Si el uso de la IA constituye un delito informático.
- Autoridad Nacional de Protección de Datos Personales (ANPDP): Si se vulnera la normativa de protección de datos personales. El propio Reglamento especifica que las responsabilidades por incumplimientos en esta materia se determinarán conforme al régimen sancionador de la Ley N° 29733, Ley de Protección de Datos Personales.
- Otras entidades según sus competencias específicas
5. Cronograma de Implementación
El Reglamento establece una implementación gradual de las obligaciones contenidas en el artículo 25 (Transparencia) y el Título VI (Obligaciones Específicas). Los plazos se cuentan desde el día siguiente de la publicación del Decreto Supremo:
📍 Sector público
| Entidad | Plazo de implementación |
| Poder Ejecutivo, Legislativo y Judicial | 1 año |
| Organismos Constitucionales Autónomos | 1 año |
| Gobiernos regionales, EsSalud, universidades públicas, empresas públicas bajo FONAFE | 2 años |
| Gobiernos locales Tipo A, B y C | 3 años |
| Gobiernos locales Tipo D–G | Facultativo |
📍 Sector privado
| Sector | Plazo de implementación |
| Salud, educación, justicia, seguridad, economía y finanzas | 1 año |
| Transporte, comercio y trabajo | 2 años |
| Producción, agricultura, energía y minería | 3 años |
| Otros sectores | 4 años |
📍 MYPES y emprendimientos innovadores
| Tipo de empresa | Plazo de implementación |
| Pequeñas empresas (150–1700 UIT anuales) | 2 años |
| Microempresas (≤150 UIT anuales) | 3 años |
Se recomienda a nuestros clientes iniciar un diagnóstico interno para identificar y clasificar los sistemas de IA que utilizan o desarrollan, a fin de adecuarse progresivamente a las nuevas obligaciones dentro de los plazos establecidos.
Infografia – Claves Del Reglamento IALaw by Iriarte LAW
Para más detalles o asesoría en la implementación de estos cambios, no duden en contactar a nuestro equipo legal.
Fatima Toche Vega
Socia Principal – IALaw
http://iriartelaw.com
