Perú se convirtió en el primer país de América Latina con un marco regulatorio integral de inteligencia artificial vigente. El 9 de septiembre de 2025, el gobierno aprobó el Decreto Supremo N° 115-2025-PCM —el Reglamento de la Ley N° 31814— y el 22 de enero de 2026 entró en plena vigencia. Esta guía completa te explica, en lenguaje claro, qué establece la norma, qué deben hacer las empresas para cumplirla, cuáles son los plazos, y cómo se compara con el resto del mundo. Si usas inteligencia artificial en tu empresa, startup o emprendimiento, este artículo es para ti.
📊 Dato clave: El 34% de las empresas peruanas ya utiliza IA (Gestión/IPSOS 2024) y la inversión en servicios de IA alcanzó US$50,1 millones en 2024. Conocer las reglas del juego es esencial para innovar con seguridad.
Tabla de Contenidos
- 1 1. ¿Qué es la Ley N° 31814 y para qué sirve?
- 2 2. El camino hasta el Reglamento: dos años de construcción participativa
- 3 3. Los 16 principios que rigen el uso de la IA en el Perú
- 4 4. Definiciones clave: el vocabulario que debes dominar
- 5 5. Los 3 niveles de riesgo: ¿dónde cae tu sistema de IA?
- 6 6. ¿Qué debe hacer tu empresa ahora? Obligaciones concretas
- 7 7. Plazos de adecuación: ¿cuánto tiempo tienes para cumplir?
- 8 8. Los derechos del ciudadano frente a los sistemas de IA
- 9 9. ¿Qué pasa si no cumples? Régimen de responsabilidad
- 10 10. Perú en el mapa global: comparación con la UE y América Latina
- 11 11. El mercado de IA en el Perú: estadísticas que debes conocer
- 12 12. 10 Preguntas Frecuentes sobre el Reglamento de IA
- 12.1 1. ¿El Reglamento ya está vigente en el Perú?
- 12.2 2. ¿A qué empresas aplica el Reglamento?
- 12.3 3. ¿Qué pasa si mi empresa usa IA de proveedores extranjeros (como ChatGPT o Google Gemini)?
- 12.4 4. ¿Un simple chatbot de WhatsApp necesita cumplir con el Reglamento?
- 12.5 5. ¿La evaluación de impacto algorítmico es obligatoria para empresas privadas?
- 12.6 6. ¿Qué sanciones puede recibir mi empresa si no cumple?
- 12.7 7. ¿Cómo sé si mi sistema de IA es de alto riesgo o aceptable?
- 12.8 8. ¿Existe un sandbox para probar mi innovación sin miedo a sanciones?
- 12.9 9. ¿El Reglamento peruano se aplica a empresas extranjeras que operan en Perú?
- 12.10 10. ¿Cómo se relaciona con la Ley de Protección de Datos Personales?
- 13 Conclusión: El Reglamento es una oportunidad, no solo una obligación
- 14 Fuentes consultadas y verificadas
1. ¿Qué es la Ley N° 31814 y para qué sirve?
La Ley N° 31814, titulada «Ley que promueve el uso de la Inteligencia Artificial en favor del desarrollo económico y social del país», fue aprobada por el Congreso el 13 de junio de 2023 con 104 votos a favor y cero en contra, y publicada en El Peruano el 5 de julio de 2023.
Su objetivo es fomentar el uso de la IA con un enfoque que prioriza a la persona y el respeto de los derechos humanos, en un entorno que garantice su uso ético, sostenible, transparente y responsable.
¿Qué declara de interés nacional?
- La promoción del talento digital y la formación en IA.
- El uso de IA para mejorar servicios públicos: salud, educación, justicia, seguridad ciudadana y programas sociales.
- El desarrollo económico y la competitividad del sector privado mediante tecnologías emergentes.
- La investigación, la innovación y el emprendimiento basados en IA.
¿Quién es la autoridad competente?
La Secretaría de Gobierno y Transformación Digital (SGTD) de la Presidencia del Consejo de Ministros (PCM) es la autoridad técnico-normativa nacional en materia de IA. No tiene potestad sancionadora directa, pero supervisa el cumplimiento y coordina con otras entidades.
📌 Fuentes de esta sección: Texto Ley N°31814 – El Peruano | Texto consolidado – Congreso | Portal Estado Peruano
2. El camino hasta el Reglamento: dos años de construcción participativa
Aunque la ley exigía reglamentar en 90 días hábiles, el proceso tomó casi dos años. El resultado fue un proceso de consulta inédito en el Perú para una norma tecnológica.
| Hito | Fecha | Detalle |
|---|---|---|
| Promulgación de la Ley N° 31814 | 5 julio 2023 | Publicada en El Peruano |
| 1.ª Consulta pública (R.M. 132-2024-PCM) | 2 mayo 2024 | 30 días para comentarios |
| 2.ª Consulta pública (Plataforma FACILITA PERÚ) | 25 nov – 6 dic 2024 | Segunda ronda de aportes |
| Aportes recibidos en total | >2,300 comentarios | Más del 60% incorporados |
| Aprobación D.S. N° 115-2025-PCM | 8 septiembre 2025 | Firmado por la Presidenta Boluarte |
| Publicación en El Peruano | 9 septiembre 2025 | Inicio del cómputo de plazos |
| Entrada en vigencia general | 22 enero 2026 | Transcurridos 90 días hábiles |
El reglamento fue refrendado por la PCM, los Ministerios de Educación, Justicia y Producción, y recibió dictamen favorable de la Comisión Multisectorial de Calidad Regulatoria, que validó el Análisis de Impacto Regulatorio Ex Ante.
📌 Fuentes de esta sección: D.S. 115-2025-PCM – El Peruano | Texto del Reglamento – LP Derecho | Congreso – comunicado
3. Los 16 principios que rigen el uso de la IA en el Perú
El Reglamento amplía los 6 principios originales de la Ley con 10 principios adicionales, llegando a un total de 16. Estos principios son el espíritu que guía toda interpretación y aplicación de la norma. Conocerlos te ayuda a diseñar sistemas y procesos alineados desde el origen.
Los 6 principios originales de la Ley N° 31814
- 1. Estándares de seguridad basados en riesgos
- 2. Enfoque de pluralidad de participantes (Estado, empresa, academia y sociedad civil)
- 3. Gobernanza de internet
- 4. Sociedad digital (acceso equitativo a tecnología)
- 5. Desarrollo ético para una IA responsable
- 6. Privacidad de la inteligencia artificial (protección de datos personales)
Los 10 principios adicionales incorporados por el Reglamento
- 7. No discriminación — Ningún sistema de IA puede generar resultados que discriminen por sexo, origen, raza, religión, discapacidad u otras categorías protegidas.
- 8. Privacidad de datos personales — El tratamiento de datos con IA debe cumplir la Ley N° 29733 y su reglamento actualizado.
- 9. Protección de derechos fundamentales — La IA no puede vulnerar derechos reconocidos en la Constitución y tratados internacionales.
- 10. Respeto del derecho de autor y derechos conexos — Los sistemas de IA generativa deben respetar la propiedad intelectual de los contenidos que usan como datos de entrenamiento.
- 11. Seguridad, proporcionalidad y fiabilidad — Los sistemas deben ser seguros, sus riesgos proporcionales a sus beneficios, y sus resultados confiables.
- 12. Sensibilización y educación en IA — Fomentar el conocimiento sobre IA entre usuarios, trabajadores y ciudadanos en general.
- 13. Sostenibilidad — El desarrollo de IA debe considerar el impacto ambiental y contribuir a los objetivos de desarrollo sostenible.
- 14. Supervisión humana — Especialmente en sistemas de alto riesgo, un ser humano debe poder revisar, corregir o desactivar el sistema.
- 15. Transparencia — Los usuarios deben saber cuándo interactúan con un sistema de IA y cómo funciona.
- 16. Rendición de cuentas — Los desarrolladores e implementadores son responsables de los impactos de sus sistemas.
💡 Para tu empresa: Documenta cómo tu sistema de IA cumple cada uno de estos principios. Esto no solo es buena práctica de gobernanza, sino que facilitará enormemente cualquier proceso de auditoría o evaluación futura.
📌 Fuentes de esta sección: Reglamento DS 115-2025-PCM, art. 7 | Principios OCDE sobre IA | Recomendación UNESCO Ética IA
4. Definiciones clave: el vocabulario que debes dominar
El Reglamento actualiza y amplía el glosario de la Ley. Entender estos términos es fundamental para saber si tu empresa está o no alcanzada por determinadas obligaciones.
| Término | Definición según el Reglamento |
|---|---|
| Sistema basado en IA | Sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere de la entrada recibida cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o digitales (alineado con OCDE 2023). |
| Desarrollador | Persona natural o jurídica que diseña, programa, entrena o crea un sistema de IA, incluyendo quien define sus objetivos y parámetros de funcionamiento. |
| Implementador | Quien integra o despliega un sistema de IA dentro de un proceso productivo, servicio u organización; puede ser diferente al desarrollador. |
| Usuario | Persona natural que utiliza directamente un sistema de IA para obtener un resultado o tomar una decisión. |
| Algoritmo | Conjunto de instrucciones o reglas definidas que un sistema de IA sigue para procesar datos y producir un resultado. |
| Sesgo algorítmico | Error sistemático que produce resultados injustos o discriminatorios debido a datos de entrenamiento parcializados, diseño deficiente del algoritmo o sesgos humanos introducidos en el proceso. |
| Evaluación de impacto algorítmico | Proceso de análisis previo al despliegue de un sistema de IA para identificar y mitigar riesgos sobre derechos fundamentales, privacidad y equidad. |
| Explicabilidad | Capacidad de describir, en términos comprensibles para un humano, cómo un sistema de IA llegó a una determinada recomendación o decisión. |
| Trazabilidad | Capacidad de seguir el historial de un sistema de IA desde sus datos de entrenamiento, lógica de funcionamiento y decisiones, para auditarlo y responsabilizar a sus operadores. |
| Sandbox regulatorio | Entorno controlado y supervisado por la SGTD donde empresas y startups pueden probar innovaciones de IA con obligaciones regulatorias temporalmente flexibilizadas. |
📌 Fuentes de esta sección: Reglamento DS 115-2025-PCM, arts. 3 y 6 | Garrigues – análisis técnico
5. Los 3 niveles de riesgo: ¿dónde cae tu sistema de IA?
El corazón del Reglamento es su sistema de clasificación por riesgo. El nivel asignado a tu sistema de IA determina qué obligaciones debes cumplir. Identifica en cuál de estas tres categorías se encuentra lo que usas o desarrollas.
🔴 NIVEL 1: Uso prohibido (Prácticas vedadas)
Estos sistemas están terminantemente prohibidos en el Perú porque generan impactos irreversibles y significativos en los derechos fundamentales. No existe justificación comercial que permita su uso.
- Manipulación de personas mediante técnicas subliminales o engañosas para provocar decisiones contra su voluntad.
- Vigilancia masiva de ciudadanos sin base legal ni autorización judicial.
- Identificación biométrica en tiempo real en espacios públicos que afecte derechos fundamentales (hay excepciones limitadas para investigar delitos graves).
- Sistemas de armas letales autónomas sin supervisión humana efectiva.
- Inferencia de datos sensibles (origen racial, orientación sexual, convicciones religiosas) a partir de datos biométricos.
- Predicción de comportamiento criminal basada en perfilamiento de rasgos de personalidad, sin evidencia conductual.
⚠️ Atención: El uso de sistemas prohibidos puede derivar en responsabilidad penal agravada bajo la Ley N° 32314 (modificación del Código Penal para crímenes cometidos con IA).
🟡 NIVEL 2: Alto riesgo (Obligaciones reforzadas)
Son sistemas que impactan ámbitos sensibles o críticos para los derechos de las personas. Su uso es permitido, pero con estrictos requisitos de transparencia, documentación y supervisión humana obligatoria.
¿Cuáles son los sistemas de alto riesgo?
- Gestión de activos nacionales esenciales: infraestructura crítica de energía, telecomunicaciones, salud, transporte, agua potable y sistema financiero.
- Evaluación educativa de niños y adolescentes: herramientas de calificación, selección o seguimiento de menores.
- Procesos laborales: selección de personal, evaluación de desempeño, ascensos, contratación y despido.
- Acceso a programas sociales del Estado: asignación de beneficios, subsidios o servicios públicos.
- Evaluación crediticia y scoring financiero: decisiones sobre préstamos, tarjetas de crédito o seguros.
- Acceso a servicios de salud, tamizaje y diagnóstico médico asistido por IA.
- Inferencia de emociones en centros laborales o educativos mediante reconocimiento facial u otros biométricos.
¿Qué debes hacer si tu sistema es de alto riesgo?
- Mantener un registro actualizado con: principios de funcionamiento, fuentes de datos, lógica algorítmica, impactos sociales y éticos esperados.
- Garantizar supervisión humana: ninguna decisión de alto riesgo puede ser 100% automatizada.
- Explicar los resultados en lenguaje claro y accesible cuando la decisión impacta derechos.
- Documentar arquitectura técnica y conservar los registros mínimo 3 años.
- Comunicar a los usuarios, de forma previa y sencilla, qué hace el sistema y qué tipo de decisiones puede tomar.
✅ Buena práctica: Si usas IA para selección de personal o scoring crediticio, documenta ya el funcionamiento del sistema. Es el primer paso hacia el cumplimiento.
🟢 NIVEL 3: Riesgo aceptable (Requisitos generales)
Todos los sistemas que no caen en los niveles anteriores. Deben cumplir los principios generales de la Ley y el Reglamento, pero sin los requisitos reforzados del nivel de alto riesgo.
Ejemplos de sistemas de riesgo aceptable:
- Chatbots de atención al cliente (sin decisiones críticas).
- Sistemas de recomendación de productos en e-commerce.
- Filtros de spam y herramientas de productividad.
- Generadores de texto o imágenes para marketing y diseño.
- Traducción automática y herramientas de escritura asistida.
Obligación básica de todos los sistemas:
- Informar al usuario que está interactuando con un sistema de IA, de forma clara y previa.
- Cumplir con los 16 principios del Reglamento.
- Respetar la Ley de Protección de Datos Personales en el tratamiento de información.
📌 Fuentes de esta sección: Reglamento DS 115-2025-PCM, arts. 22-24 | Echecopar – impacto sector privado | Hiperderecho – análisis crítico | BABL AI – análisis
6. ¿Qué debe hacer tu empresa ahora? Obligaciones concretas
Tanto si desarrollas IA como si la usas (implementas), el Reglamento te aplica. Aquí te explicamos exactamente qué debes hacer según tu rol.
🏢 Si tu empresa implementa o usa IA (sector privado)
El artículo 31 establece cuatro obligaciones principales para desarrolladores e implementadores privados:
Obligación 1: Registro actualizado de sistemas de IA de alto riesgo
- Documenta todos los sistemas de alto riesgo que usas o desarrollas.
- El registro debe incluir: propósito, fuentes de datos, lógica algorítmica, decisiones que puede tomar, impactos éticos y sociales esperados.
- Debe estar disponible para revisión por la SGTD o las autoridades competentes.
Obligación 2: Políticas internas de gobernanza de IA
- Establece políticas y protocolos documentados sobre seguridad, privacidad, transparencia y responsabilidad.
- Referenciar estándares técnicos internacionales (ISO/IEC 42001, ISO 31000) es una buena práctica.
- Define quién es responsable de la supervisión de cada sistema de IA en tu organización.
Obligación 3: Educación y sensibilización interna
- Capacita a tu equipo sobre los riesgos de los sistemas de IA que utilizan.
- Esto incluye al personal de RRHH (si usa IA para selección), de marketing (si usa IA generativa) y de atención al cliente (si usa chatbots).
- No es necesario que sean expertos técnicos, pero sí que entiendan las implicancias éticas y legales.
Obligación 4: Supervisión humana en sistemas de alto riesgo
- Para sistemas de alto riesgo en salud, educación, justicia, finanzas y servicios básicos, debe existir una persona responsable que pueda revisar, corregir o anular las decisiones del sistema.
- Los sistemas no pueden operar de forma completamente autónoma en estas áreas.
- Documenta el mecanismo de supervisión humana y asegúrate de que esté operativo.
🏛️ Si eres una entidad del sector público
Las entidades públicas tienen obligaciones más estrictas, incluyendo:
- Implementar la norma técnica NTP-ISO/IEC 42001:2025 para gestión de IA.
- Realizar evaluaciones de impacto algorítmico (obligatoria, no voluntaria como en el sector privado).
- Conformar equipos multidisciplinarios que incluyan perfiles legales, técnicos y de ética.
- Publicar bajo licencia abierta el código fuente de sistemas de IA financiados con fondos públicos.
- Contribuir con datos de alto valor al Centro Nacional de Datos.
✅ Lista de verificación para emprendedores y PYMEs
Si tienes una startup, PYME o negocio en Lima que usa IA, este es tu punto de partida práctico:
| Paso | Acción | Plazo orientativo |
|---|---|---|
| 1 | Audita los sistemas de IA que usas en tu empresa (publicidad, RRHH, atención al cliente, etc.) | Inmediato |
| 2 | Clasifica cada sistema en los 3 niveles de riesgo | Primeras 2 semanas |
| 3 | Para sistemas de alto riesgo: documenta su funcionamiento, fuentes de datos y lógica | 1er mes |
| 4 | Crea o actualiza tu política interna de uso ético de IA | 1er mes |
| 5 | Designa a un responsable de supervisión humana para sistemas de alto riesgo | 1er mes |
| 6 | Informa a tus usuarios cuando interactúan con un sistema de IA | Inmediato |
| 7 | Capacita a tu equipo en los principios y riesgos de la IA | Trimestral |
| 8 | Conserva todos los registros y documentación mínimo 3 años | Continuo |
| 9 | Revisa la compatibilidad de tus sistemas con la Ley de Protección de Datos (Ley 29733) | 1er mes |
| 10 | Considera realizar una evaluación voluntaria de impacto algorítmico (SGTD la reconoce) | Antes del plazo sectorial |
📌 Fuentes de esta sección: Reglamento art. 25, 28-32 | EY Perú – análisis empresarial | Araya & Cía – datos personales y IA | Perú Emprende – guía PYME
7. Plazos de adecuación: ¿cuánto tiempo tienes para cumplir?
El Reglamento reconoce que no todos los sectores pueden adaptarse al mismo ritmo. Por eso, establece plazos escalonados contados desde el 9 de septiembre de 2025 (fecha de publicación).
Plazos para el sector privado
| Sector | Fecha límite | Plazo |
|---|---|---|
| Salud, educación, justicia, seguridad, economía y finanzas | Septiembre 2026 | 1 año |
| Transporte, comercio y trabajo | Septiembre 2027 | 2 años |
| Producción, agricultura, energía y minería | Septiembre 2028 | 3 años |
| Demás sectores no especificados | Septiembre 2029 | 4 años |
| Pequeñas empresas (ventas 150–1,700 UIT) | Septiembre 2027 | 2 años |
| Microempresas (ventas hasta 150 UIT) | Septiembre 2028 | 3 años |
Plazos para el sector público
| Entidad pública | Fecha límite | Plazo |
|---|---|---|
| Poder Ejecutivo, Legislativo y Judicial | Septiembre 2026 | 1 año |
| Organismos autónomos (SUNAT, INDECOPI, BCR, etc.) | Septiembre 2026 | 1 año |
| Seguridad Social (EsSalud, ONP, AFP) | Septiembre 2027 | 2 años |
| Gobiernos Regionales | Septiembre 2027 | 2 años |
| Universidades Públicas | Septiembre 2027 | 2 años |
| Municipalidades grandes (provincias y distritales) | Septiembre 2028 | 3 años |
| Municipalidades pequeñas | Facultativo (opcional) | — |
📅 Plazos adicionales de la SGTD: La Secretaría debe: aprobar lineamientos éticos de IA en 180 días hábiles; crear www.gob.pe/iaperu en 60 días hábiles; proponer la Estrategia Nacional de IA (ENIA) al 2030 en 1 año; lanzar el Observatorio Nacional de IA en 2026.
📌 Fuentes de esta sección: EY Perú – plazos detallados | Compliance Latam – análisis | Perú Emprende
8. Los derechos del ciudadano frente a los sistemas de IA
El Reglamento no solo habla de obligaciones para las empresas: también establece derechos para las personas que interactúan con sistemas de IA. Estos derechos se suman a los ya existentes en la Ley de Protección de Datos Personales.
- Derecho a ser informado: Saber cuándo estás interactuando con un sistema de IA y qué tipo de decisiones puede tomar sobre ti.
- Derecho a la explicación: Cuando una IA toma una decisión que impacta tus derechos (acceso a crédito, evaluación laboral, acceso a servicios de salud), tienes derecho a recibir una explicación en lenguaje accesible.
- Derecho a la supervisión humana: En sistemas de alto riesgo, puedes solicitar que una persona revise la decisión automatizada.
- Derecho a no ser sometido a prácticas prohibidas: Como manipulación subliminal, vigilancia masiva o predicción criminal sin base conductual.
- Derecho a reportar: Cualquier ciudadano puede denunciar usos indebidos de IA a través del portal www.gob.pe/iaperu.
💬 ¿Cómo reclamar?: Si crees que un sistema de IA violó tus datos personales, puedes presentar queja ante la Autoridad Nacional de Protección de Datos Personales (ANPDP). Si afectó tus derechos como consumidor, recurre a INDECOPI.
📌 Fuentes de esta sección: Reglamento arts. 25-26, 36 | USMP – análisis regulatorio
9. ¿Qué pasa si no cumples? Régimen de responsabilidad
El Reglamento no crea un sistema propio de multas —ese es uno de sus puntos pendientes— pero articula vías de enforcement a través de las normas sectoriales existentes. El incumplimiento puede tener consecuencias serias a través de estas vías:
Vías administrativas
- Violaciones de protección de datos personales (Ley 29733): sancionadas por la Autoridad Nacional de Protección de Datos Personales (ANPDP) con multas de hasta 100 UIT.
- Afectaciones a derechos del consumidor: INDECOPI puede iniciar procedimientos sancionatorios bajo el Código de Protección al Consumidor.
- Incumplimientos del sector público: derivados a la Contraloría General de la República para evaluación de responsabilidad administrativa.
- Ciberdelitos relacionados con IA: la División de Investigación de Ciberdelincuencia de la PNP recibe los casos.
Responsabilidad penal agravada (Ley N° 32314)
En abril de 2025, el Congreso aprobó la Ley N° 32314, que modifica el Código Penal para tipificar el uso de IA como agravante en delitos específicos:
- Difamación o injuria mediante deepfakes (imágenes o voces falsas generadas por IA).
- Estafa o fraude usando IA para suplantar identidades.
- Producción y distribución de pornografía infantil generada con IA.
- Plagio o violación de derechos de autor con asistencia de IA.
Canal de denuncia ciudadana
El Reglamento crea el portal www.gob.pe/iaperu donde cualquier persona puede alertar sobre usos indebidos de sistemas de IA por parte de empresas o entidades públicas.
⚠️ Brecha pendiente: La SGTD todavía no tiene potestad sancionadora directa para incumplimientos del Reglamento que no estén cubiertos por las normativas sectoriales existentes. Es un punto que el Ejecutivo deberá resolver mediante legislación complementaria.
📌 Fuentes de esta sección: Ley 32314 – LP Derecho | Caro & Asociados – alerta legal | Hiperderecho – análisis enforcement
10. Perú en el mapa global: comparación con la UE y América Latina
Perú vs. el EU AI Act
El Reglamento europeo de IA (EU AI Act, Reglamento UE 2024/1689) es la referencia global más avanzada. Adoptado en junio de 2024 con vigencia gradual hasta 2027, es la inspiración principal del marco peruano. Estas son las principales similitudes y diferencias:
| Dimensión | Perú (DS 115-2025-PCM) | Unión Europea (EU AI Act) |
|---|---|---|
| Estructura | 3 niveles de riesgo | 4 niveles (inaceptable, alto, limitado, mínimo) |
| Evaluaciones de conformidad | Voluntarias para sector privado | Obligatorias para sistemas de alto riesgo |
| Modelos de IA de propósito general (GPAI) | No regula específicamente | Regulados con obligaciones específicas |
| Multas por incumplimiento | No tiene régimen propio (enforcement sectorial) | Hasta €35M o 7% de facturación global |
| Alcance territorial | Solo dentro de Perú | Extraterritorial (aplica a quien venda en la UE) |
| IA en sector público | Código fuente abierto obligatorio | Transparencia y supervisión, sin código abierto |
| Penalización penal | Sí, como agravante (Ley 32314) | No directamente, se remite a leyes penales nacionales |
| Sandbox regulatorio | Sí, contemplado | Sí, obligatorio para cada Estado miembro |
Perú vs. América Latina: el panorama regional
| País | Estado regulatorio | Tipo de marco |
|---|---|---|
| Perú 🇵🇪 | Ley vigente + Reglamento vigente (2026) | Ley integral con sistema de riesgos |
| Brasil 🇧🇷 | Marco Legal aprobado en Senado (dic. 2024), pendiente Cámara | En proceso legislativo |
| Chile 🇨🇱 | Proyecto de ley aprobado en Cámara (2025), en Senado | Enfoque de 4 niveles, similar a UE |
| Colombia 🇨🇴 | Política CONPES 4144 (feb. 2025), inversión COP 479B | Política pública, no ley vinculante |
| México 🇲🇽 | Múltiples proyectos en el Congreso, sin aprobación | Sin norma específica aprobada |
| Argentina 🇦🇷 | Estrategia de desregulación deliberada | Sin ley de IA, fomento a la innovación |
| Uruguay 🇺🇾 | Firmó el Convenio Marco del Consejo de Europa (sep. 2025) | Primer país LATAM en adherir al tratado global |
🏆 Liderazgo regional: Perú es el único país latinoamericano con una ley de IA promulgada Y su reglamento vigente. Harvard Kennedy School (2025) identificó al Perú con 17 proyectos legislativos relacionados con IA, el mayor número de la región.
📌 Fuentes de esta sección: Parlamento Europeo – EU AI Act | Harvard Kennedy School | White & Case – IA en LATAM | Consejo de Europa – Uruguay | CMS Expert Guide – Perú
11. El mercado de IA en el Perú: estadísticas que debes conocer
Estos datos te ayudan a entender la magnitud del fenómeno que el Reglamento busca ordenar y aprovechar:
| Indicador | Dato | Fuente |
|---|---|---|
| Empresas peruanas que ya usan IA | 34% (6.° en Latinoamérica) | Gestión / IPSOS 2024 |
| Inversión en servicios de IA (2024) | US$50,1 millones | Gestión / IDC 2025 |
| Crecimiento proyectado del gasto en IA en TI | 3,9x (el mayor de LATAM) | Lenovo / IDC 2025 |
| Grandes empresas que aumentarán presupuesto IA | 70% en los próximos 2 años | Microsoft / IDC Perú 2025 |
| Sector con mayor adopción de IA | Finanzas y banca (42%) | ComexPerú 2024 |
| Usuarios avanzados de tecnología en Perú | Solo 6% de la población | Infobae / Automation Anywhere 2025 |
| Proyectos de ley relacionados con IA | 17 proyectos (1.° en LATAM) | Harvard Kennedy School 2025 |
| Potencial aporte al PIB anual | Hasta +1% del PIB | BID / estimaciones 2024 |
📌 Fuentes de esta sección: Gestión – empresas peruanas y IA | Gestión – inversión IA | Microsoft Latinoamérica – estudio | Infobae – adopción IA | ComexPerú
12. 10 Preguntas Frecuentes sobre el Reglamento de IA
1. ¿El Reglamento ya está vigente en el Perú?
Sí. El D.S. N° 115-2025-PCM fue publicado el 9 de septiembre de 2025 y su vigencia general inició el 22 de enero de 2026 (90 días hábiles después). Los plazos de adecuación sectorial son adicionales.
2. ¿A qué empresas aplica el Reglamento?
A todas las empresas que desarrollen o implementen sistemas de IA en el Perú, independientemente de su tamaño o sector. Las microempresas y pequeñas empresas tienen plazos más amplios (2-3 años), pero igualmente les aplica.
3. ¿Qué pasa si mi empresa usa IA de proveedores extranjeros (como ChatGPT o Google Gemini)?
Sigues siendo responsable como implementador. Si integras herramientas de IA externas en tus procesos de negocio —especialmente para decisiones de alto riesgo— debes asegurarte de cumplir con las obligaciones del Reglamento en cuanto a supervisión humana, transparencia y documentación.
4. ¿Un simple chatbot de WhatsApp necesita cumplir con el Reglamento?
Si es para atención al cliente general, clasifica como riesgo aceptable y solo necesita cumplir con la obligación básica: informar al usuario que está hablando con un sistema de IA. Si ese chatbot toma decisiones sobre créditos, salud o beneficios sociales, pasaría a ser de alto riesgo.
5. ¿La evaluación de impacto algorítmico es obligatoria para empresas privadas?
No. Es voluntaria para el sector privado (artículo 32), aunque muy recomendable especialmente para sistemas de alto riesgo. La documentación generada debe conservarse mínimo 3 años. Para el sector público sí es obligatoria.
6. ¿Qué sanciones puede recibir mi empresa si no cumple?
Depende de la infracción: sanciones de la ANPDP por violaciones de datos personales (hasta 100 UIT), procedimientos de INDECOPI por afectaciones al consumidor, y responsabilidad penal agravada para quienes usen IA para cometer delitos (Ley N° 32314).
7. ¿Cómo sé si mi sistema de IA es de alto riesgo o aceptable?
La clave es el impacto en derechos fundamentales. Hazte estas preguntas: ¿El sistema toma decisiones sobre acceso a crédito, empleo, salud o educación? ¿Afecta a niños o adolescentes? ¿Involucra datos biométricos o reconocimiento facial? Si respondes sí a alguna, probablemente es de alto riesgo.
8. ¿Existe un sandbox para probar mi innovación sin miedo a sanciones?
Sí. El Reglamento contempla un sandbox regulatorio supervisado por la SGTD. Empresas y startups pueden solicitar operar en este entorno controlado para probar soluciones de IA con condiciones regulatorias temporalmente flexibilizadas.
9. ¿El Reglamento peruano se aplica a empresas extranjeras que operan en Perú?
El Reglamento aplica a los sistemas de IA usados dentro del territorio peruano, independientemente del origen del proveedor. Si una empresa extranjera ofrece servicios con IA a usuarios en Perú, las obligaciones de transparencia y los principios del Reglamento aplican.
10. ¿Cómo se relaciona con la Ley de Protección de Datos Personales?
Se integran directamente. Todo uso de IA que involucre datos personales debe cumplir simultáneamente con la Ley N° 29733 y su reglamento actualizado (D.S. 016-2024-JUS). Las empresas enfrentan un doble enfoque regulatorio: el de la SGTD para IA y el de la ANPDP para datos personales.
📌 Fuentes de esta sección: Portal PCM – Reglamento IA | Iriarte & Asociados – alerta legal | Rubio Leguía Normand | DLA Piper – análisis internacional
Conclusión: El Reglamento es una oportunidad, no solo una obligación
Perú tiene hoy el marco regulatorio de IA más completo y vigente de América Latina. El Decreto Supremo N° 115-2025-PCM no es un freno a la innovación: es la hoja de ruta para que empresas, startups y emprendedores puedan adoptar la inteligencia artificial con confianza, responsabilidad y visión de largo plazo.
Las empresas que se adelanten a los plazos y construyan sus sistemas de IA sobre bases éticas y transparentes no solo evitarán problemas legales: estarán en mejor posición para ganarse la confianza de sus clientes, acceder a mercados internacionales y escalar con solidez.
El Reglamento ya existe. Las reglas del juego están claras. La pregunta ahora es: ¿está tu empresa lista para aprovechar esta oportunidad?
Fuentes consultadas y verificadas
Toda la información de este artículo está respaldada por fuentes primarias (legislación oficial) y secundarias de alta confiabilidad (firmas legales internacionales, organismos académicos y medios especializados).
Fuentes oficiales del Estado peruano
- Ley N° 31814 – El Peruano: busquedas.elperuano.pe/dispositivo/NL/2192926-1
- Texto consolidado Ley N° 31814 – Congreso: leyes.congreso.gob.pe
- D.S. N° 115-2025-PCM – El Peruano: busquedas.elperuano.pe/dispositivo/NL/2436426-1
- Portal PCM – Reglamento IA: gob.pe/110224-conoce-el-reglamento-de-la-ley-de-inteligencia-artificial-en-el-peru
- Ley N° 32314 – Código Penal con IA como agravante: lpderecho.pe
Firmas legales y análisis técnico
- Garrigues Perú: garrigues.com
- Echecopar (Baker McKenzie): echecopar.com
- EY Perú: ey.com/es_pe
- Iriarte & Asociados (IALAW): iriartelaw.com
- Caro & Asociados: ccfirma.com
- Araya & Cía: araya.pe
- Rubio Leguía Normand: rubio.pe
- CMS Expert Guide: cms.law
- DLA Piper: dlapiper.com
Academia y sociedad civil
- Hiperderecho: hiperderecho.org
- IDEHPUCP: idehpucp.pucp.edu.pe
- Harvard Kennedy School: hks.harvard.edu
- ComexPerú: comexperu.org.pe
- USMP: usmp.edu.pe
Medios de comunicación y datos de mercado
- Gestión: gestion.pe
- Infobae Perú: infobae.com
- Microsoft Latinoamérica: news.microsoft.com
- Radio Nacional del Perú: radionacional.gob.pe
Referencias internacionales
- EU AI Act – Parlamento Europeo: europarl.europa.eu
- Principios de IA – OCDE: oecd.ai/en/ai-principles
- Recomendación Ética IA – UNESCO: unesco.org
- White & Case – IA en LATAM: whitecase.com
- Brookings – gobernanza IA LATAM: brookings.edu
Artículo publicado en Hypertext, el blog de KOM Agencia Digital | kom.pe/hypertext | Última actualización: marzo 2026
