IA y datos personales en Perú: cómo cumplir la Ley 31814 sin frenar tu innovación

La IA llegó al Perú con reglas: qué dice la Ley 31814

En 2023, el Perú se convirtió en uno de los primeros países de América Latina en tener una ley específica sobre inteligencia artificial. La Ley N° 31814, Ley que promueve el uso de la Inteligencia Artificial en favor del desarrollo económico y social del país, se publicó el 5 de julio de 2023. Dos años después, en 2025, llegó su reglamento mediante el Decreto Supremo N° 115-2025-PCM.

El nombre de la ley tiene una palabra clave: «promueve». La 31814 no es una ley sancionadora dura como el GDPR europeo sobre IA. Es una ley de principios y gobernanza que busca fomentar el uso responsable de la IA. Pero ojo: cuando tu sistema de IA trata datos personales, se cruza con la Ley 29733 y con el D.S. 016-2024-JUS, y ahí sí entran obligaciones y sanciones duras.

Este artículo explica qué dice la Ley 31814, cómo se conecta con la protección de datos, qué tienes que hacer si usas IA en tu negocio y cómo cumplir sin frenar la innovación. Si quieres ver cómo encaja con el resto del marco peruano de datos, revisa antes la guía completa de protección de datos personales en Perú.

Por qué te importa aunque «no uses IA»

Muchos emprendedores piensan que la Ley 31814 es para startups tecnológicas con laboratorios de machine learning. Error. Si tu negocio usa cualquiera de estos servicios, estás usando IA:

• Chatbot de atención al cliente en tu web o WhatsApp.
• Asistente virtual con ChatGPT, Claude o Gemini para redactar respuestas o propuestas.
• Sistema de recomendación de productos en tu ecommerce.
• Herramienta de scoring para evaluar clientes o proveedores.
• Segmentación automática de audiencias para publicidad.
• Reconocimiento facial en el acceso de tu local.
• Análisis automatizado de currículums en tu proceso de contratación.
• Detección de fraude en pagos.

Todo eso es IA. Y cuando cualquiera de esas herramientas procesa datos personales (nombres, correos, fotos, voz, historial de compras), se cruza con la Ley 29733 y queda sujeta también a la Ley 31814.

Ficha técnica rápida

Los principios éticos que debe seguir todo sistema de IA

La Ley 31814 establece principios éticos que cualquier sistema de IA usado en Perú debe respetar. Son la base de toda la norma. Si tu sistema los cumple, estás cerca del cumplimiento básico.

Cómo se conecta la Ley 31814 con la Ley 29733

Este es el punto crítico. La Ley 31814 por sí sola no tiene un régimen sancionador duro, pero cuando tu sistema de IA trata datos personales, se activa la Ley 29733 y el reglamento D.S. 016-2024-JUS. Ahí sí hay multas de hasta S/ 550,000.

Puntos de conexión clave

1. Consentimiento específico para tratamiento por IA: si tu sistema usa datos personales para entrenar modelos o tomar decisiones automatizadas, el consentimiento debe mencionarlo explícitamente. No basta con un «acepto la política de privacidad» genérico.
2. Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos o significativos sin revisión humana. Si tu sistema rechaza automáticamente una solicitud de crédito o un postulante, el afectado puede exigir revisión humana.
3. Transparencia algorítmica: el titular puede pedir explicación sobre la lógica general del sistema cuando este tome decisiones sobre él.
4. Evaluación de impacto obligatoria cuando el tratamiento por IA sea de alto riesgo.
5. Privacidad desde el diseño aplicada al ciclo de vida del sistema de IA, desde el desarrollo hasta el despliegue.
6. Contratos con proveedores de IA: si usas OpenAI, Anthropic, Google o cualquier API de IA, necesitas condiciones contractuales que cubran el tratamiento de datos personales.

Casos prácticos: qué hacer en cada escenario

Chatbot de atención al cliente

Un chatbot en tu web o WhatsApp Business que responde preguntas de clientes. Tus obligaciones:

• Informar al inicio de la conversación que el usuario está hablando con un sistema de IA.
• Ofrecer opción de escalar a un humano cuando el usuario lo pida.
• Política de privacidad que cubra el tratamiento por el chatbot.
• No pedir datos sensibles por el canal sin medidas de seguridad reforzadas.
• Revisar el contrato con el proveedor del chatbot para asegurar que los datos no se usen para entrenar modelos sin consentimiento.

Scoring de clientes o proveedores

Un sistema que puntúa automáticamente a clientes para aprobar créditos, condiciones comerciales o riesgos. Tus obligaciones:

• Evaluación de impacto obligatoria antes de desplegar.
• Consentimiento informado del titular sobre el uso de sus datos para scoring.
• Mecanismo de revisión humana cuando el scoring tenga efectos significativos.
• Explicación general del funcionamiento disponible para el titular si lo solicita.
• Auditoría periódica de sesgos para detectar discriminación indebida.

Sistema de recomendación en ecommerce

Un algoritmo que sugiere productos basado en historial de navegación y compras. Tus obligaciones:

• Informar que hay personalización basada en IA.
• Permitir oposición (opción de «no personalizar»).
• No combinar con datos sensibles sin consentimiento expreso.
• Política de cookies y tracking clara.
• Documentar la base legal del tratamiento (consentimiento o interés legítimo).

Reconocimiento facial en locales

Cámaras que identifican personas para control de acceso o seguridad. Este es uno de los casos de más alto riesgo. Tus obligaciones:

• Evaluación de impacto obligatoria antes de instalar.
• Aviso visible en el local informando del uso de reconocimiento facial.
• Consentimiento expreso y por escrito (los datos biométricos son sensibles).
• Alternativa para quien no quiera ser identificado por biometría.
• Medidas de seguridad máximas en el almacenamiento.
• Retención limitada al mínimo necesario.

IA generativa con datos de clientes (ChatGPT, Claude, Gemini)

Si usas asistentes de IA para redactar respuestas personalizadas usando información de clientes, este es el escenario más común y más descuidado.

• No enviar datos sensibles a modelos externos sin contrato y configuración de «zero retention».
• Revisar los términos de uso del proveedor sobre uso de inputs para entrenamiento.
• Preferir versiones empresariales (ChatGPT Enterprise, Claude for Work, Gemini for Business) que ofrecen mejores garantías contractuales.
• Documentar el flujo: qué datos entran, qué modelo los procesa, qué sale, quién accede.
• Formación del equipo sobre qué se puede y qué no se puede enviar a IA.

Decisiones automatizadas y el derecho a revisión humana

Este es uno de los temas más delicados. Cuando un sistema de IA toma decisiones que afectan derechos de una persona (rechazo de crédito, selección en un proceso de contratación, denegación de un servicio, exclusión de una promoción), el titular tiene derechos específicos:

• Derecho a saber que la decisión fue automatizada.
• Derecho a explicación general del funcionamiento del sistema.
• Derecho a impugnar la decisión.
• Derecho a revisión humana de la decisión antes de que sea definitiva.

Si tu empresa toma decisiones 100% automáticas que afectan a personas, tienes que rediseñar el flujo para incluir un punto de revisión humana antes de la decisión final. No es opcional.

Checklist de cumplimiento para startups que usan IA

Este checklist cubre los puntos críticos si tu negocio incorpora IA en cualquier proceso que trate datos personales.

• Inventario de todos los sistemas de IA usados (internos y de terceros).
• Identificación de qué datos personales procesa cada sistema.
• Evaluación de riesgo de cada sistema (bajo, medio, alto).
• Evaluación de impacto en protección de datos para sistemas de alto riesgo.
• Contratos con proveedores de IA revisados y firmados.
• Política de privacidad actualizada para reflejar el uso de IA.
• Aviso al usuario cuando interactúa con un sistema de IA.
• Mecanismo de revisión humana para decisiones automatizadas relevantes.
• Procedimiento para atender solicitudes de explicación sobre decisiones automatizadas.
• Política interna sobre uso de IA generativa con datos de clientes.
• Formación del equipo sobre uso responsable de IA.
• Auditoría periódica de sesgos algorítmicos.
• Documentación del ciclo de vida de cada sistema de IA.

Errores más comunes en el uso de IA

• Pegar datos sensibles de clientes en ChatGPT gratuito sin pensarlo.
• Desplegar un chatbot sin informar al usuario que es IA.
• Usar IA para rechazar automáticamente postulantes sin revisión humana.
• Entrenar modelos con datos personales sin consentimiento específico.
• No tener contrato con el proveedor de IA o tenerlo sin cláusulas de protección de datos.
• Ignorar el derecho del titular a pedir explicación sobre decisiones algorítmicas.
• Instalar reconocimiento facial sin aviso ni consentimiento.
• No documentar nada del ciclo de vida del sistema de IA.

Preguntas frecuentes sobre la Ley 31814 y la IA

¿Tengo que avisar a mis clientes que uso ChatGPT para responder correos?

Si los correos los firma «tu asistente» y el cliente razonablemente cree que habla con un humano, sí tienes que dejar claro que hay IA de por medio. La transparencia es un principio rector. Además, debes revisar qué datos del cliente estás enviando al modelo y si tienes base legal para hacerlo.

¿Puedo usar IA para decidir quién pasa a la segunda entrevista en mi proceso de selección?

Puedes usar IA como apoyo, pero la decisión de descarte no puede ser 100% automática. Tiene que haber revisión humana antes de la decisión final, el postulante tiene derecho a saber que hubo IA en el proceso, y tienes que auditar si el sistema genera sesgos (por género, edad, origen).

¿Qué pasa con las herramientas de IA que no están diseñadas para Perú?

Si las usas para tratar datos de personas en Perú, te aplica el marco peruano. Es tu responsabilidad configurar la herramienta y contratar la versión adecuada para cumplir con la Ley 29733 y la Ley 31814.

¿Cómo obtengo consentimiento específico para usar IA?

En la política de privacidad y en los avisos de recolección, agrega una sección clara que explique: qué sistemas de IA usas, con qué finalidad, qué datos procesan, si hay decisiones automatizadas, cómo ejercer el derecho a revisión humana. El consentimiento se obtiene con un checkbox específico (no premarcado) al aceptar.

¿El reglamento D.S. 115-2025-PCM establece multas directas?

El enfoque de la Ley 31814 es promotor y de gobernanza, no sancionador directo. Las sanciones llegan por la vía de la Ley 29733 cuando hay tratamiento indebido de datos personales, o por otras leyes sectoriales cuando el sistema de IA genera daños concretos.

¿Las microempresas también tienen que cumplir la Ley 31814?

Sí, los principios aplican a todos. La diferencia es de proporcionalidad: las exigencias prácticas son menores para una microempresa que usa un chatbot básico que para una fintech que hace scoring masivo. Pero los principios son los mismos.

¿Puedo usar datos de redes sociales públicas para entrenar mi modelo de IA?

«Público» no significa «libre». Los datos personales en redes sociales siguen siendo datos personales y su tratamiento requiere base legal. Scrapear masivamente perfiles para entrenar un modelo es una zona de alto riesgo y posibles sanciones.

Cierre: innovar sí, pero con reglas claras

La Ley 31814 no busca frenar la IA. Al contrario, se llama «Ley que promueve el uso de la Inteligencia Artificial». Lo que busca es que ese uso respete derechos fundamentales, especialmente la protección de datos personales. El espíritu es simple: puedes innovar, pero con transparencia, supervisión humana y respeto por las personas cuyos datos procesas.

Para los emprendedores peruanos que están incorporando IA en sus negocios, la clave es entender que estas obligaciones no son exóticas: son una extensión natural del marco de protección de datos que ya existe desde 2011. Si tienes tu cumplimiento de Ley 29733 y del D.S. 016-2024-JUS al día, el salto hacia la Ley 31814 es manejable.

Si todavía no tienes claridad sobre las otras piezas del marco, el mejor punto de partida es la guía completa de protección de datos personales en Perú, que conecta esta ley con las otras tres normas del cluster y te da un plan de trabajo práctico. Y si tu estrategia digital pasa por ser visible en asistentes de IA como ChatGPT, Claude o Gemini, también conviene mirar cómo el posicionamiento GEO para marcas que usan IA se cruza con el cumplimiento.

Fuentes consultadas

1. Ley N° 31814, Ley que promueve el uso de la Inteligencia Artificial en favor del desarrollo económico y social del país. Diario Oficial El Peruano, 5 de julio de 2023. https://spij.minjus.gob.pe
2. Decreto Supremo N° 115-2025-PCM, Reglamento de la Ley N° 31814.
3. Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, 3 de julio de 2011.
4. Decreto Supremo N° 016-2024-JUS, Reglamento de la Ley N° 29733. Diario Oficial El Peruano, 30 de noviembre de 2024. https://busquedas.elperuano.pe/dispositivo/SE/2349653-1
5. Decreto Supremo N° 301-2025-EF, valor de la UIT 2026 en S/ 5,500. https://lpderecho.pe/valor-uit-2026-decreto-supremo-301-2025-ef/
6. Autoridad Nacional de Protección de Datos Personales (ANPD). https://www.gob.pe/anpd
7. Presidencia del Consejo de Ministros (PCM), Secretaría de Gobierno y Transformación Digital. https://www.gob.pe/pcm
8. Ministerio de Justicia y Derechos Humanos. «ANPD impuso multas por más de S/ 13 millones por infracciones a la normativa el año 2024». 10 de enero de 2025. https://www.gob.pe/institucion/minjus/noticias/1088896-autoridad-nacional-de-proteccion-de-datos-personales-impuso-multas-por-mas-de-s-13-millones-por-infracciones-a-la-normativa-el-ano-2024
9. Infobae Perú. «Empresas en Perú enfrentarán sanciones de hasta 535 mil soles por filtración de datos personales». 29 de enero de 2025. https://www.infobae.com/peru/2025/01/29/empresas-en-peru-enfrentaran-sanciones-de-hasta-535-mil-soles-por-filtracion-de-datos-personales-que-hacer-ante-ciberataques/
10. LP Derecho. «Reglamento de la Ley de protección de datos personales [D.S. 016-2024-JUS]». https://lpderecho.pe/reglamento-ley-proteccion-datos-personales-decreto-supremo-016-2024-jus/
11. IAPP. «Se publica el nuevo reglamento de protección de datos personales en Perú». https://iapp.org/news/a/se-publica-el-nuevo-reglamento-de-protecci-n-de-datos-personales-en-per-