Tabla de Contenidos
Marco legal de la IA en Perú
El Decreto Supremo 115-2025-PCM es el reglamento que define cómo las empresas peruanas deben usar inteligencia artificial. Desde el 22 de enero de 2026, está en vigor y afecta directamente tu negocio, sin importar si tienes 5 o 500 empleados. Este decreto desarrolla la Ley 31814 y crea un marco claro sobre qué tipo de IA puedes implementar y cuáles están completamente prohibidas.
Durante años, las empresas peruanas usaban herramientas de IA sin reglas claras. Ahora eso cambió. El gobierno estableció límites precisos: algunos sectores tienen plazo hasta septiembre de 2026, otros hasta 2027 o 2029. Si tu empresa maneja datos de clientes, toma decisiones automatizadas sobre empleados, o gestiona salud, educación o justicia, necesitas conocer estas normas ya.
Ley 31814 y D.S. 115-2025-PCM
La Ley 31814, promulgada hace poco, fue el primer paso. Pero una ley sin reglamento es como una receta sin instrucciones de cocina. Ahí entra el Decreto Supremo 115-2025-PCM: es el manual detallado que explica exactamente qué debe hacer cada empresa.
La ley dice «la IA debe ser responsable». El decreto dice «esto significa auditorías, documentación, notificaciones y evaluaciones de riesgo». La Secretaría de Gobierno y Transformación Digital (SGTD-PCM) es la autoridad que supervisa que todos cumplan. No es el ministerio de tecnología, es directamente presidencia. Eso te da una idea de la importancia que le dan.
¿Qué cambia para tu empresa? Antes, podías comprar cualquier herramienta de IA sin justificar nada. Ahora necesitas documentar por qué la usas, cuáles son los riesgos, cómo proteges los datos, y debes reportar a la SGTD-PCM si algo sale mal. Es como pasar de conducir sin carnet a tener un permiso que requiere capacitación, inspecciones y renovación periódica.
Niveles de riesgo
El decreto clasifica toda IA en cuatro niveles de riesgo. Este sistema es clave para entender qué debes hacer en tu empresa.
Riesgo inaceptable: Directamente prohibida. Incluye IA que manipula decisiones de personas vulnerables, sistemas de crédito social, reconocimiento facial en espacios públicos sin autorización legal, y IA que genera de manera masiva contenido falso (deepfakes). Si tu empresa usa algo en esta categoría, debe parar ya. No hay plazo: es ahora.
Ejemplos concretos de IA inaceptable: Un banco que implementa «scoring de moralidad» basado en comportamiento online estaría prohibido. Una empresa de recursos humanos usando IA para evaluar «potencial criminal» de candidatos estaría prohibida. Una municipalidad creando sistema de «puntuación ciudadana» que restringe servicios públicos (transporte, educación) según comportamiento estaría prohibida. Una agencia de publicidad usando deepfakes de políticos para influir en elecciones estaría prohibida. Una clínica usando reconocimiento facial para identificar pacientes «no deseables» y negar servicio estaría prohibida. La prohibición es clara: no puedes usar IA para socavar autonomía, libertad de decisión, o derechos fundamentales de personas. Especialmente si afecta menores, adultos mayores, o poblaciones en situación vulnerable.
Riesgo alto: Permitida, pero con vigilancia estricta. Aquí entran sistemas que deciden sobre tu empleo (evaluación de CV, asignación de salario), IA que evalúa creditibilidad para créditos o seguros, sistemas que predicen conductas criminales, y herramientas que analizan emociones en tiempo real. Para estas, necesitas auditoría, consentimiento informado, derecho a impugnar la decisión, y evaluación de impacto antes de implementar.
Riesgo medio: Requiere transparencia y documentación. Chatbots de servicio al cliente, software que recomienda productos, sistemas de optimización de procesos. Debes informar a los usuarios que hablan con IA, guardar registros de decisiones, y tener un responsable interno.
Riesgo bajo: Mínimas restricciones. IA para análisis de datos internos, automatización de tareas administrativas, o filtros de spam. Igual necesitas documentar que las usas, pero los requisitos son básicos.
Cronograma por sectores
No todas las industrias tienen el mismo plazo para cumplir. El gobierno fue estratégico: primero los sectores críticos, después los demás. Si trabajas en salud, educación o justicia, tu urgencia es diferente a la de alguien en retail o manufactura.
| Sector | Plazo de cumplimiento | Razón de prioridad |
|---|---|---|
| Salud, Educación, Justicia | Septiembre 2026 | Decisiones que afectan derechos fundamentales |
| Transporte, Comercio, Finanzas | Diciembre 2027 | Alto impacto económico y social |
| Telecomunicaciones, Energía, Servicios diversos | Diciembre 2029 | Impacto moderado |
| Otros sectores | Diciembre 2029 | Regulación general |
Si eres clínica en Lima, consultorio en La Molina, o trabajas en educación superior, tienes 8-9 meses desde ahora. Si tu empresa es de logística o e-commerce, tienes casi 2 años. Pero esperar no es recomendable: la mayoría de empresas necesita tiempo para auditar, cambiar procesos y capacitar al equipo.
Obligaciones empresariales
El decreto es específico. No dice «cumple de forma general». Dice: haz esto, documenta aquello, reporta lo otro. Estas son tus obligaciones principales.
Registrar y documentar: Toda IA de riesgo alto y medio debe estar registrada ante la SGTD-PCM. Necesitas un archivo con: qué hace el sistema, qué datos usa, quién lo desarrolló, cómo se evaluó el riesgo, y cómo lo monitoreas. No es un documento de 2 páginas: es un expediente completo. Una empresa de servicios financieros que implementa IA para decisiones de crédito necesita reportar a decenas de analistas, auditorías trimestrales, y registros de cada decisión del sistema.
Pasos prácticos para registro: (1) Inventariar todos tus sistemas de IA existentes y planificados. (2) Clasificar cada uno en el nivel de riesgo correcto. (3) Crear fichas técnicas para cada sistema: propósito, datos, algoritmo, proveedor. (4) Documentar cómo monitorizas precisión y sesgos. (5) Designar un responsable legal ante la SGTD-PCM. (6) Preparar evidencia de auditorías o evaluaciones realizadas. La mayoría de empresas tarda 2-4 meses en completar esto correctamente. Si esperas al último mes antes de tu plazo, probablemente incumplas.
Evaluación de impacto: Antes de lanzar IA de riesgo alto, debes hacer un análisis: ¿A quién afecta? ¿Qué derechos impacta? ¿Cómo proteges sesgos? ¿Qué pasa si el sistema falla? Es similar a un estudio de impacto ambiental, pero para tecnología. Una clínica que implemente IA para diagnóstico de enfermedades debe evaluar cómo afecta a pacientes vulnerables, qué pasa si el sistema discrimina por edad, y cómo garantiza que un médico siempre revisa antes de decidir tratamiento. Este análisis debe incluir: pruebas de sesgo con datos de poblaciones minoritarias, simulaciones de fallo del sistema, entrevistas con grupos afectados, y documentación de medidas correctivas.
Transparencia con usuarios: Si tu sistema de IA toma una decisión sobre alguien (rechaza un crédito, propone un cambio salarial, selecciona un candidato), esa persona tiene derecho a saber que fue una máquina quien decidió, no una persona. Debe conocer la razón, más o menos. Y puede pedir revisión humana. Para una empresa de recursos humanos, esto significa: cuando rechazas a un candidato por IA, debes poder explicar por qué (no el algoritmo exacto, pero sí: «el sistema consideró que tus competencias técnicas no coincidían con el perfil»). Implementar esto requiere: notificaciones automáticas cuando hay decisión de IA, mecanismos accesibles para solicitar revisión, y equipo humano capacitado para reevaluar.
Auditoría continua: No es un «checklist» de una vez. La SGTD-PCM espera que monitorees tus sistemas constantemente. ¿La IA sigue siendo precisa? ¿Hay sesgos nuevos? ¿Ha cambiado la ley? Empresas grandes probablemente necesitarán un equipo interno o asesor externo dedicado a esto. Pequeñas empresas pueden hacerlo trimestralmente con un consultor. Auditoría continua incluye: análisis mensual de métricas de precisión, revisión trimestral de sesgos en subgrupos, evaluación anual de cambios legales, y pruebas anuales de funcionamiento en situaciones extremas.
Reportar incidentes: Si tu IA causa daño (toma una decisión discriminatoria, expone datos, falla catastróficamente), debes reportar a la SGTD-PCM dentro de 72 horas. Es como accidentes laborales: notificación obligatoria en horario específico. Incidente significa: cualquier error que afecte negativamente a usuarios, decisión discriminatoria detectada, exposición no autorizada de datos, o mal funcionamiento prolongado. Reportar rápido reduce sanciones; ocultar agrava consecuencias.
Autoridad SGTD-PCM
La Secretaría de Gobierno y Transformación Digital, ubicada en Palacio de Gobierno, es quien hace cumplir esto. No es un ente distante: tienen facultad de auditar empresas, revisar sistemas, solicitar documentación, y sancionar incumplimientos.
¿Cómo funciona? La SGTD-PCM puede:
– Solicitar acceso a tu sistema de IA para revisión
– Auditar documentación y procesos
– Imponer multas (que pueden llegar a soles significativos)
– Ordenar suspensión temporal de sistemas que violen la norma
– Publicar listados de empresas que cumplen o incumplen
En 2026, esperamos que la SGTD-PCM lance una plataforma de registro donde subes documentación de tu IA. Así que prepárate: si tienes sistemas de riesgo alto o medio, organiza tus archivos ahora. Aprende más sobre cómo la IA está transformando negocios en Perú.
Preguntas frecuentes
¿Vigente desde cuándo?
El Decreto Supremo 115-2025-PCM entró en vigor el 22 de enero de 2026. Desde esa fecha, toda IA nueva debe cumplir. Los sistemas ya en operación tienen plazo hasta sus fechas límite según sector (septiembre 2026, 2027 o 2029), pero debes declarar que existen y comenzar el camino de cumplimiento ahora.
¿Qué sectores tienen prioridad?
Salud, educación y justicia son primeros: septiembre 2026. Después, transporte, comercio y finanzas (diciembre 2027). Finalmente, el resto de sectores y pymes (diciembre 2029). Pero esto no significa que pymes están exentas: también deben cumplir, solo que tienen más tiempo. Una pequeña agencia de viajes que usa chatbot de IA debe cumplir en 2029, pero si es una clínica pequeña, es 2026.
¿Qué IA está prohibida?
Riesgo inaceptable = prohibición total: reconocimiento facial masivo sin autorización legal, sistemas de crédito social, IA que manipula decisiones de menores o personas en situación vulnerable, y generadores masivos de deepfakes. Prácticamente: no puedes crear un sistema que socave la libertad de decisión de las personas. Una empresa que intenta implementar «evaluación emocional en tiempo real para monitorear empleados» estaría prohibida.
¿Quién fiscaliza el cumplimiento?
La Secretaría de Gobierno y Transformación Digital. Tienen potestad de auditar, solicitar documentación, entrevistar responsables, y revisar el funcionamiento de sistemas. Si operaste un sistema de IA de riesgo alto sin registrarlo, pueden detectarlo. También pueden recibir denuncias de usuarios, competidores, o empleados. Mantener registros claros no es solo para la ley: es para tu defensa.
¿Cuáles son las multas por incumplimiento?
El decreto establece sanciones administrativas: desde advertencias hasta multas que pueden alcanzar porcentajes del ingreso anual o montos fijos significativos (dependiendo de la gravedad). Incumplimiento grave (usar IA prohibida, o riesgo alto sin auditoría) resulta en multas más altas que no completar documentación a tiempo. También hay responsabilidad penal si hay daño intencional. Una empresa grande que implementa IA discriminatoria a sabiendas enfrenta multa más severa que una pyme que entrega documentación incompleta pero hace el esfuerzo. Demostrar «esfuerzo de cumplimiento» (auditorías, capacitaciones, documentación) reduce sanciones significativamente.
Comparación con la Regulación de IA en Europa
Si tu empresa opera internacionalmente, es útil saber cómo Perú se compara con Europa. La Unión Europea aprobó su «AI Act» hace poco, y aunque Perú no copia exactamente, hay similitudes y diferencias importantes. Ambas regulaciones clasifican IA por niveles de riesgo, prohíben ciertas aplicaciones, y requieren evaluaciones de impacto. Pero el EU AI Act es más detallado y enfocado en protección de consumidores europeos. El D.S. 115-2025-PCM está más enfocado en soberanía y protección de datos de ciudadanos peruanos. Ambas requieren auditoría y documentación continua. Si tu empresa cumple EU AI Act, cumplir el decreto peruano es más sencillo: ya tienes procesos, documentación, y conciencia regulatoria. Pero no son idénticos: revisa ambos si operas en Europa y Perú.
Tabla de niveles de riesgo
| Nivel de riesgo | Ejemplos | Obligaciones principales |
|---|---|---|
| Inaceptable (Prohibido) | Crédito social, reconocimiento facial masivo, deepfakes generados masivamente | Prohibición total. Sin excepciones. |
| Alto | IA para decisiones de empleo, crédito, seguros, predicción de conducta | Evaluación de impacto, auditoría, consentimiento, derecho a impugnar, registro obligatorio |
| Medio | Chatbots, recomendadores, sistemas de análisis de procesos | Documentación, transparencia con usuarios, responsable designado, monitoreo |
| Bajo | IA para filtros de spam, análisis de datos internos, automatización administrativa | Registro básico, documentación mínima |
Perú en el índice global de regulación de IA (ILIA 2025 CEPAL): Perú está en transición hacia regulación seria de IA. Según el Índice de Integración de Legislación de Inteligencia Artificial (ILIA 2025) de CEPAL, Perú ocupa posición 7 de 19 países latinoamericanos evaluados, con 51.9 puntos de 100. Esto significa que avanzamos significativamente con el Decreto Supremo 115-2025-PCM, pero hay mucho espacio para mejorar comparado con líderes como Chile (que lidera la región) o Argentina. El decreto coloca a Perú como uno de los países más adelantados en regulación de IA en América Latina, aunque aún rezagado frente a Europa. Aproximadamente el 60% de empresas peruanas está planeando usar más IA, pero el 87% de pymes carece de base de conocimientos suficiente sobre cumplimiento normativo. Esto abre una brecha: las empresas que cumplen temprano y bien tendrán ventaja competitiva frente a competidores que dejan pasar el tiempo.
Esto representa una oportunidad para ti: cumplir temprano, entender bien el decreto, y preparar tu empresa. El IVA en servicios digitales e IA también afecta a tu negocio, así que coordina con tu área fiscal. Si tu empresa está en Lima y tiene consultorios o servicios basados en IA, revisa normativas específicas para clínicas.
Ahora es el momento para acciones: audita qué sistemas de IA tienes, clasifícalos por riesgo, estima cuándo vence tu plazo, y comienza documentación. No es una tarea de una semana, es un proceso de meses. Pero hacerlo bien reduce riesgo legal, mejora confianza de clientes, y posiciona tu empresa como responsable.
Necesitas asesoría específica para tu sector? La regulación es clara, pero la implementación varía según industria. Descubre cómo adaptarte a normativas locales y posicionar tu negocio digitalmente en el mercado peruano, incluyendo estrategias para cumplir regulación de IA sin ralentizar crecimiento.
O si prefieres conversar directamente sobre cómo tu empresa se adapta al Decreto Supremo 115-2025-PCM, escríbenos por WhatsApp. Te ayudamos a traducir norma en acción.
