El 9 de septiembre de 2025, se publicó el Decreto Supremo N.° 115-2025-PCM, que aprueba el Reglamento de la Ley N.° 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país (el “Reglamento”).
El Reglamento busca establecer un marco normativo para el desarrollo, implementación y uso de sistemas basados en inteligencia artificial (IA).
A continuación, resumimos los principales aspectos que pueden impactar en las organizaciones privadas.
1. Ámbito de aplicación y autoridades competentes
- Se determina que la Secretaría de Gobierno y Transformación Digital (SGTD) es la autoridad técnico-normativa nacional que dirige, evalúa y supervisa el uso de la IA y tecnologías emergentes. La supervisión del uso y riesgos generados por los sistemas de IA se efectuará con respecto a las entidades privadas que desarrollen o implementen sistemas basados en IA.
- Dicha autoridad podrá, entre otras facultades, emitir lineamientos, estándares, guías y disposiciones complementarias para el desarrollo, implementación y uso de la IA.
- Asimismo, supervisará el cumplimiento del Reglamento. Sin embargo, en caso de incumplimiento, deberá informarlo a las autoridades competentes - como la Autoridad Nacional de Protección de Datos Personales o el INDECOPI - para que adopten las acciones correspondientes. Es decir, no se crea un nuevo régimen de infracciones y sanciones, sino que las sanciones se podrán imponer en base a la legislación vigente que se encuentra bajo las competencias de dichas entidades.
2. Clasificación de riesgos
Se establece una clasificación sobre la base del nivel de riesgo que represente un sistema de IA, con el fin de aplicar medidas diferenciadas de control, supervisión y responsabilidad:
- Uso indebido Sistemas de IA que generan impactos graves e irreversibles en derechos fundamentales o el bienestar de las personas. Su uso está expresamente prohibido en todo el territorio nacional. Por ejemplo, sistemas de IA:
a. Para vigilancia masiva sin fundamento legal.
b. Que manipulen el comportamiento humano mediante técnicas subliminales, engañosas o que se aprovechen de vulnerabilidades humanas.
c. Que analicen, clasifiquen o infieran datos sensibles de las personas, sobre la base de sus datos biométricos para deducir su origen racial o étnico, opiniones políticas, afiliación sindical, convicciones, vida u orientación sexuales.
- Riesgo alto Sistemas que, por su naturaleza o aplicación, pueden afectar derechos fundamentales, seguridad física, dignidad o libertad de las personas. Su uso está permitido, pero sujeto a condiciones estrictas. Por ejemplo:
a. IA utilizada en infraestructuras críticas (energía, telecomunicaciones, salud, transporte, agua, banca, etc.).
b. IA empleada en procesos de selección, evaluación, contratación y cese de trabajadores o postulantes.
c. IA que se usa para determinar la evaluación crediticia de las personas, con la excepción de la que se usa para detección de fraude financiero.
- Riesgo aceptable Sistemas que no encajan en las categorías anteriores y cuyo impacto potencial es limitado o controlable. Deben cumplir con los principios generales del Reglamento, siendo los más relevantes: protección de derechos fundamentales; protección de datos personales, derechos de autor y conexos; seguridad, proporcionalidad y fiabilidad, y transparencia.
3. Obligaciones y recomendaciones para los desarrolladoras o implementadores de IA de riesgo alto
- Se deberá establecer mecanismos para garantizar la transparencia algorítmica. Para ello, deben informar de forma clara y accesible a los usuarios los siguientes aspectos del sistema basado en IA:
1. Su finalidad.
2. Sus funcionalidades principales.
3. El tipo de decisiones que puede tomar.
4. Los criterios y factores utilizados en dichas decisiones, especialmente si afectan derechos humanos.
Con ello, se busca asegurar que los usuarios conozcan los alcances de su interacción con la IA.
- Se podrá realizar evaluaciones de impacto del uso de IA. La SGTD promoverá reconocimientos para los desarrolladores o implementadores que las realicen.
- Se deberá mantener un registro actualizado y accesible, con enfoque preventivo, de los principios del funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo, los impactos sociales y éticos esperados.
- Se deberá implementar mecanismos de supervisión humana en la toma de decisiones mediante sistemas basados en IA que pudiesen implicar un impacto significativo en determinados sectores (salud, educación, justicia, finanzas, etc.)
4. Vigencia y plazos de implementación
El Reglamento entrará en vigor en 90 días hábiles. Sin embargo, para el sector privado, se establece una entrada en vigencia progresiva durante los siguientes cuatro años, dependiendo del sector económico en el que se emplee.
En el siguiente enlace, puede encontrar la publicación de la Resolución.
En caso de que tenga alguna consulta sobre el particular, no dude en contactarse con nosotros. Esperamos que esta información le sea de utilidad.