Tabla de Contenidos
Marco legal de la IA en Perú
Por años, el Perú no tuvo un marco legal claro para regular sistemas de inteligencia artificial. Las empresas peruanas operaban en una zona gris: usaban chatbots, algoritmos de recomendación y sistemas automáticos sin regulación específica. Esto cambió el 22 de enero de 2026, cuando entró en vigencia el Decreto Supremo 115-2025-PCM, que reglamenta la Ley 31814 aprobada por el Congreso. Este reglamento es el primer marco legal integral de IA en Perú y afecta directamente a cualquier empresa que use IA en decisiones que impacten a personas, datos o servicios críticos.
Si buscas «Decreto Supremo 115-2025-PCM IA Perú», es porque necesitas entender qué obligaciones tiene tu empresa, qué sistemas de IA son de riesgo y qué plazos debes cumplir. Esta guía te lo explica sin lenguaje legal innecesario, con plazos concretos y recomendaciones prácticas.
El índice ILIA 2025 de CEPAL ubica al Perú en el puesto 7 de 19 países latinoamericanos con 51.9 puntos en madurez de IA. El D.S. 115 busca que esa adopción sea responsable, no que la frene. Para el emprendedor peruano, esto es una oportunidad: las empresas que cumplan con el marco regulatorio antes que sus competidores van a tener ventaja competitiva y mayor confianza de sus clientes.
Ley 31814 y D.S. 115-2025-PCM: la base legal
La Ley 31814, aprobada por el Congreso de la República, establece los principios generales para el uso de IA en el Perú: transparencia, no discriminación, supervisión humana, privacidad y rendición de cuentas. El D.S. 115-2025-PCM es el reglamento que operativiza esa ley: define niveles de riesgo, plazos por sector, obligaciones específicas y la autoridad competente.
La estructura es similar al AI Act de la Unión Europea (que Perú usó como referencia), pero adaptada a la realidad peruana. Hay cuatro niveles de riesgo: mínimo, limitado, alto e inaceptable. La mayoría de empresas peruanas que usan ChatGPT, Claude o chatbots caen en riesgo mínimo o limitado. Las de riesgo alto son las que usan IA para decisiones que afectan derechos fundamentales (acceso a crédito, empleo, salud, justicia).
Niveles de riesgo
| Nivel | Definición | Ejemplos | Obligaciones |
|---|---|---|---|
| Mínimo | IA sin impacto en derechos | Chatbots informativos, filtros de spam, recomendaciones de productos | Ninguna específica adicional |
| Limitado | IA que interactúa con personas | Chatbots de atención al cliente, sistemas de transcripción, generación de contenido | Informar al usuario que interactúa con IA |
| Alto | IA que afecta derechos fundamentales | Scoring crediticio, selección de personal, diagnóstico médico asistido, vigilancia | Evaluación de impacto, registro, supervisión humana, auditoría |
| Inaceptable | IA prohibida | Scoring social, manipulación subliminal, explotación de vulnerables, vigilancia masiva sin justificación | Prohibida. No se puede implementar. |
Para la mayoría de pymes peruanas, la clave es identificar en qué nivel cae tu uso de IA. Si usas ChatGPT para escribir emails y contenido (riesgo mínimo), no tienes obligaciones adicionales. Si tienes un chatbot que atiende clientes (riesgo limitado), debes informar que es IA. Si usas IA para decidir quién obtiene un crédito o quién es contratado (riesgo alto), tienes obligaciones significativas de transparencia y auditoría.
Cronograma por sectores
El D.S. 115 establece un cronograma progresivo para la implementación del marco regulatorio. No todas las empresas y sectores deben cumplir al mismo tiempo.
| Fase | Fecha límite | Sectores | Qué deben hacer |
|---|---|---|---|
| Fase 1 | Septiembre 2026 | Salud, Educación, Servicios Públicos | Registro de sistemas IA de alto riesgo + evaluación de impacto |
| Fase 2 | Enero 2027 | Transporte, Comercio, Banca | Registro + evaluación + planes de mitigación |
| Fase 3 | Julio 2027 | Telecomunicaciones, Energía, Minería | Cumplimiento completo del marco |
| Fase 4 | Enero 2029 | Todos los demás sectores | Cumplimiento universal |
Esto significa que si tienes una clínica en Lima que usa IA para triaje o diagnóstico asistido, debes registrar tu sistema y hacer una evaluación de impacto antes de septiembre de 2026 (menos de 6 meses desde la publicación). Si tienes un e-commerce con chatbot de IA, tienes más tiempo (fase 2 o 4 dependiendo de la complejidad). Si tu IA solo genera contenido de marketing, probablemente caes en riesgo mínimo y no tienes obligaciones adicionales hasta la fase 4.
Obligaciones empresariales
Las obligaciones varían según el nivel de riesgo, pero el D.S. 115 establece requisitos claros para empresas que operan sistemas de IA de riesgo alto.
Transparencia: debes informar a los usuarios cuando interactúan con IA. Si tu chatbot de WhatsApp usa GPT-4o, el primer mensaje debe indicar que es un asistente automatizado. Esto aplica desde riesgo limitado.
Evaluación de impacto: para sistemas de riesgo alto, debes realizar una evaluación que documente: qué datos usa el sistema, cómo toma decisiones, qué riesgos de discriminación existen, y qué medidas de mitigación implementaste.
Registro: los sistemas de riesgo alto deben registrarse ante la SGTD-PCM (Secretaría de Gobierno y Transformación Digital de la PCM). El registro incluye descripción del sistema, finalidad, datos procesados, y resultados de la evaluación de impacto.
Supervisión humana: todo sistema de IA de riesgo alto debe tener un humano que pueda intervenir, corregir o desactivar el sistema cuando sea necesario. No puedes tener un sistema de IA tomando decisiones de crédito o empleo sin supervisión humana efectiva.
Auditoría: los sistemas registrados están sujetos a auditoría por parte de la SGTD-PCM. Las auditorías pueden ser programadas o por denuncia. Las empresas deben mantener registros de funcionamiento del sistema.
Autoridad SGTD-PCM
La Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros (SGTD-PCM) es la autoridad competente para fiscalizar el cumplimiento del D.S. 115. Sus funciones incluyen: mantener el registro de sistemas de IA de alto riesgo, realizar auditorías y supervisiones, emitir guías de buenas prácticas, y coordinar con otras entidades reguladoras sectoriales (SBS para banca, SUSALUD para salud, MINEDU para educación).
Para las pymes peruanas, la SGTD-PCM también emitirá guías simplificadas de cumplimiento durante 2026. Si tu empresa no tiene un equipo legal dedicado, estas guías serán tu referencia principal para cumplir con la normativa.
¿Cómo afecta al mercado peruano?
El D.S. 115 tiene un impacto dual en el mercado peruano. Por un lado, genera costos de cumplimiento para empresas que usan IA de alto riesgo. Por otro, crea confianza en el ecosistema: los consumidores peruanos van a preferir empresas que cumplan con la normativa, especialmente en sectores sensibles como salud y finanzas.
Para emprendedores que desarrollan soluciones de IA, el D.S. 115 crea un mercado nuevo: servicios de consultoría en cumplimiento de IA, auditorías de algoritmos, evaluaciones de impacto. Las empresas que se especialicen en ayudar a otras a cumplir con esta normativa van a tener demanda creciente durante los próximos 3-5 años.
El posicionamiento GEO también se beneficia del marco regulatorio: las empresas que demuestren cumplimiento con el D.S. 115 generan señales de confiabilidad que tanto Google como los LLMs valoran. Si tu web declara transparentemente que usas IA y cumples la normativa, eso es E-E-A-T en acción.
A nivel de precios, el D.S. 115 no regula directamente los costos de herramientas de IA. ChatGPT Plus sigue costando S/ 69/mes, Claude Pro S/ 69/mes, y el IGV del 18% (D.L. 1623) sigue aplicando. Lo que cambia es que las empresas necesitan presupuestar costos de cumplimiento (evaluaciones de impacto, registro, posible auditoría) además del costo de las herramientas.
Preguntas frecuentes
¿Desde cuándo está vigente el D.S. 115-2025-PCM?
Desde el 22 de enero de 2026. Fue publicado en El Peruano y entró en vigencia inmediatamente. Sin embargo, las obligaciones de registro y evaluación de impacto tienen plazos diferidos según el sector (septiembre 2026 para salud y educación, enero 2027 para comercio y banca, julio 2027 para telecomunicaciones, enero 2029 para el resto).
¿Qué sectores deben cumplir primero?
Salud, educación y servicios públicos tienen plazo hasta septiembre de 2026 para registrar sus sistemas de IA de alto riesgo y presentar evaluaciones de impacto. Son los sectores priorizados por el impacto directo en derechos de los ciudadanos.
¿Qué tipos de IA están prohibidos?
El D.S. 115 prohíbe: sistemas de scoring social (evaluar comportamiento ciudadano para otorgar o negar derechos), manipulación subliminal con IA, explotación de vulnerabilidades de grupos específicos (niños, adultos mayores, personas con discapacidad), y vigilancia biométrica masiva sin justificación legal específica.
¿Quién fiscaliza el cumplimiento?
La SGTD-PCM (Secretaría de Gobierno y Transformación Digital de la PCM) es la autoridad principal. Puede realizar auditorías programadas o por denuncia. Coordina con reguladores sectoriales como SBS (banca), SUSALUD (salud) y MINEDU (educación).
¿Hay multas por incumplimiento?
El D.S. 115 establece un régimen sancionador progresivo. Las multas van desde amonestaciones y multas leves (hasta 50 UIT, ~S/ 247,500) hasta multas graves (hasta 100 UIT, ~S/ 495,000) para incumplimientos reiterados o que afecten derechos fundamentales. La SGTD-PCM priorizará la orientación y prevención durante el primer año de vigencia.
Prepara tu empresa para la regulación de IA
El D.S. 115-2025-PCM no es un obstáculo: es una oportunidad para diferenciarte. Las empresas que cumplan proactivamente van a generar más confianza, atraer mejor talento y competir con ventaja.
Si necesitas orientación sobre cómo cumplir con la regulación de IA y posicionar tu empresa como referente, en KOM diseñamos estrategias de posicionamiento GEO que integran cumplimiento normativo con marketing digital. Escríbenos por WhatsApp al 923 222 223.
