Perú es hoy uno de los pocos países de América Latina con un marco jurídico completo y operativo para la inteligencia artificial. No se trata de un proyecto en consulta ni de un lineamiento aspiracional: la Ley N° 31814 fue publicada el 5 de julio de 2023, y su reglamento, el DS N° 115-2025-PCM, entró en vigor el 22 de enero de 2026. Desde esa fecha, las obligaciones son exigibles. Las empresas que aún tratan la regulación de IA como un tema futuro están operando un riesgo legal que se acorta cada semana.
Esta situación contrasta con la percepción extendida durante 2025: que Perú carecía de legislación específica en IA. La realidad es que el marco ya existe, con clasificación de riesgos, obligaciones diferenciadas, cronograma escalonado por sector y un sandbox regulatorio. El análisis que sigue examina la norma vigente con fechas exactas, criterios de clasificación e implicancias concretas para empresas que usan IA en gestión documental.
El punto de partida es claro: identificar si usa sistemas de IA, clasificarlos por nivel de riesgo y determinar el plazo de adecuación sectorial. Lo que no es opcional es iniciar ese proceso.
Contexto: Perú Entra en la Era Regulada de la IA
Por Qué la Ley 31814 Cambia el Panorama Empresarial
La Ley N° 31814 establece los principios, la autoridad nacional y las categorías de riesgo que rigen el desarrollo, implementación y uso de sistemas de IA en el país. Su alcance es amplio: aplica tanto al sector público como al privado, y la responsabilidad de cumplimiento recae en quien implementa y usa el sistema, no únicamente en el proveedor.
Este punto es crítico para empresas que operan con herramientas de IA contratadas externamente: si su empresa usa una solución de terceros para tomar o apoyar decisiones que afectan a personas —clientes, trabajadores, pacientes, ciudadanos— es su empresa la que debe garantizar cumplimiento. El contrato con el proveedor no transfiere la responsabilidad regulatoria.
Diferencia entre Ley 31814 (2023) y el Reglamento DS 115-2025-PCM (Vigente Enero 2026)
La Ley 31814 fija el marco general: principios (transparencia, equidad, seguridad, responsabilidad), la designación de la Secretaría de Gobierno y Transformación Digital de la PCM (SGTD-PCM) como autoridad técnica nacional, y las categorías de riesgo. El reglamento —6 títulos, 36 artículos y 6 disposiciones finales— desarrolla los mecanismos operativos: obligaciones por categoría de riesgo, cronograma sectorial, sandbox regulatorio y vinculación con la NTP-ISO/IEC 42001:2025.
La distinción importa porque la ley de 2023 era exigible en aspectos generales, mientras que el reglamento operativizó los mecanismos. Desde el 22 de enero de 2026, no hay ambigüedad: el sistema completo está vigente.
Clasificación de Riesgos: Cómo Saber Si Su IA Es Riesgo Alto
Los Tres Niveles Según el Reglamento
El DS 115-2025-PCM adopta un enfoque basado en el impacto potencial del sistema, con tres categorías:
- Uso indebido (prohibido): Sistemas expresamente vedados por la ley, sin posibilidad de habilitación mediante controles.
- Riesgo alto: Sistemas permitidos, pero con controles reforzados obligatorios antes y durante su operación.
- Riesgo aceptable: Sistemas que operan bajo principios generales de transparencia e información al usuario.
La categoría de un sistema no la determina la tecnología, sino el impacto de sus resultados sobre derechos o intereses de personas. Un motor de OCR puede ser riesgo aceptable en un contexto pero alto en otro, dependiendo de qué decisión alimenta.
Ejemplos Concretos para Gestión Documental
La evaluación crediticia por IA y la selección de personal están clasificadas explícitamente como riesgo alto. Esto impacta directamente flujos documentales:
Tabla: Matriz de Riesgo por Tecnología e Impacto
| Tecnología | Uso | Clasificación | Justificación |
|---|---|---|---|
| OCR de conversión de texto | Indexación de archivos, búsqueda documental | Riesgo aceptable | Genera metadatos; no determina derechos |
| Clasificación automática de facturas | Ordenamiento contable por tipo de documento | Riesgo aceptable | Sin impacto en derechos individuales |
| OCR + extracción de datos financieros | Input para evaluación de crédito automatizada | Riesgo alto | Alimenta decisión sobre acceso a crédito |
| Clasificación de historias clínicas | Priorización de atención o cobertura de seguro | Riesgo alto | Impacto en acceso a salud |
| Cribado automático de CVs | Selección o descarte de candidatos | Riesgo alto | Impacto en empleo; explícito en reglamento |
| Reconocimiento de caracteres (ICR) en expedientes académicos | Alimenta decisión sobre notas o acceso | Riesgo alto | Impacto en educación (plazo sectorial 2026) |
| Reconocimiento biométrico en tiempo real | Espacios públicos sin base legal expresa | Prohibido | Expresamente vedado |
Obligaciones por Categoría: Qué Debe Implementar Hoy
Riesgo Alto: Supervisión Humana, Documentación y Transparencia
Los sistemas de riesgo alto deben cumplir obligaciones reforzadas antes de su despliegue y durante toda su operación:
| Obligación | Descripción | Alcance |
|---|---|---|
| Supervisión humana | Ninguna decisión puede ser 100% automatizada; revisión humana significativa requerida | Público y privado |
| Documentación técnica | Registro del funcionamiento, fuentes de datos, criterios de decisión | Público y privado |
| Transparencia algorítmica | Usuario afectado debe conocer que fue IA y recibir explicación | Público y privado |
| Evaluación de impacto | Análisis de riesgos sobre derechos, registro documentado; obligatorio en sector público y en usos que afecten selección de personal; recomendado en privado para otros usos de riesgo alto | Público: obligatorio; Privado: obligatorio en RRHH, recomendado en otros |
| Conservación de documentación | Evaluaciones e informes de funcionamiento conservados por mínimo 3 años | Público y privado |
| Aviso de privacidad actualizado | Debe reflejar tratamiento de datos personales por IA | Público y privado |
Riesgo Aceptable: Requisitos Mínimos
Los sistemas de riesgo aceptable tienen obligaciones básicas:
- Informar al usuario que está interactuando con IA cuando sea relevante.
- Documentar políticas internas de uso del sistema.
- Cumplir Ley 29733 si procesan datos personales (DNI, RUC, datos sensibles).
- Respetar principios generales: transparencia, equidad, responsabilidad.
Prohibiciones Expresas
El DS 115-2025-PCM establece usos vedados sin excepción:
- Identificación biométrica en tiempo real en espacios públicos sin base legal expresa.
- Inferencia de origen étnico, orientación sexual u otras características sensibles mediante biometría.
- Vigilancia masiva sin fundamento legal.
- Manipulación conductual que cause daño a personas.
- Sistemas de puntuación social discriminatoria.
Estas prohibiciones son absolutas: no se pueden habilitar mediante controles, sandbox o autorización sectorial.
Cronograma de Adecuación por Sector: Sus Plazos Exactos
Desde el 22 de enero de 2026, la norma está vigente para todos los sectores. Lo que varía es el plazo máximo para completar la adecuación. No existe período de gracia indefinido; los plazos son límites legales, no fechas de inicio.
| Sector | Plazo de adecuación | Ejemplos | Pasos inmediatos |
|---|---|---|---|
| Salud, educación, justicia, seguridad, economía y finanzas | 10 de septiembre de 2026 | Bancos, AFP, clínicas, universidades, aseguradoras | Inventario de sistemas de IA, clasificación de riesgo, supervisión humana en riesgo alto |
| Transporte, comercio exterior y trabajo | 10 de septiembre de 2027 | Logística, importadoras, plataformas de empleo | Clasificar sistemas de selección de personal, evaluar impacto |
| Producción, agricultura, energía y minería | 10 de septiembre de 2028 | Minería, agroindustria, plantas de energía | Evaluar sistemas predictivos, mapear impacto en seguridad |
| Demás sectores | 10 de septiembre de 2029 | Servicios, retail, gestión documental sin riesgo crítico | Iniciar inventario; no esperar al último año |
Advertencia práctica: estar en un sector con plazo 2028 o 2029 no significa esperar hasta entonces. La norma ya está vigente; los plazos marcan el límite de adecuación. Un sistema de riesgo alto operando sin controles incumple desde el 22 de enero de 2026, independientemente del plazo sectorial.
La Autoridad: SGTD-PCM y Cómo Funciona la Fiscalización
Rol de la SGTD-PCM: Monitoreo Técnico, Sin Poder Sancionador Directo
La Secretaría de Gobierno y Transformación Digital de la PCM (SGTD-PCM) es la autoridad técnica nacional en IA. Sus funciones incluyen emitir lineamientos, gestionar el sandbox regulatorio, promover la NTP-ISO/IEC 42001:2025 y monitorear el ecosistema. Lo que no tiene es potestad sancionadora directa: no puede multar por incumplimiento.
Esto no significa que el incumplimiento sea inocuo. La derivación funciona por materia:
- Datos personales: La ANPDP actúa conforme a Ley 29733 si un sistema procesa datos de manera ilegal o sin aviso adecuado.
- Derechos del consumidor: INDECOPI tiene competencia si el sistema perjudica a consumidores (rechazo crediticio automatizado sin explicación, por ejemplo).
- Patrimonio estatal: En el sector público, la Contraloría General fiscaliza el uso de recursos en implementaciones de IA.
Las consecuencias son reales; llegan a través de autoridades existentes con poder sancionador, no de la SGTD directamente.
Sandbox Regulatorio: Cómo Pilotar IA Bajo Supervisión
El DS 115-2025-PCM habilita el sandbox regulatorio: un entorno controlado bajo supervisión SGTD que permite pilotar soluciones de IA antes del despliegue masivo. Es especialmente valioso para sistemas de riesgo alto, porque permite validar controles en condiciones supervisadas antes de la exposición comercial. El mecanismo tiene respaldo legal desde enero de 2026; para consultar disponibilidad operativa y apertura de solicitudes, conviene verificar directamente con la SGTD-PCM.
Intersección con Datos Personales: Ley 29733 y ANPDP
Si el sistema de IA procesa datos de personas —nombre, DNI, RUC, información financiera, datos de salud— aplican simultáneamente dos cuerpos normativos: la Ley 31814 (y su reglamento) y la Ley 29733 de Protección de Datos Personales (DS 016-2024-JUS). El cumplimiento de uno no reemplaza al otro.
Obligaciones Adicionales
- Avisos de privacidad actualizados: Deben reflejar explícitamente que los datos se tratan mediante IA, qué decisiones se toman y en qué lógica se basan.
- Consentimiento específico: El tratamiento por IA debe tener consentimiento informado, libre y específico si requiere consentimiento bajo Ley 29733.
- Derechos del interesado: Acceso, rectificación, cancelación y oposición aplican a datos usados en IA. Si un sistema rechaza un crédito usando datos del solicitante, este tiene derecho a conocer qué datos se usaron y solicitar corrección.
- Conservación de registros: Para tratamientos de alto riesgo, la documentación de funcionamiento debe conservarse por mínimo 3 años.
Un sistema OCR que procesa DNI, estados de cuenta, fichas médicas o expedientes laborales procesa datos personales, posiblemente sensibles. La doble obligación (Ley 31814 + Ley 29733) aplica desde el primer documento.
Casos de Uso Documental: Cómo Saber Qué Hacer
Caso 1: OCR Genérico para Indexación — Típicamente Riesgo Aceptable
Flujo: Documentos escaneados se procesan con OCR para generar texto indexable y metadatos de búsqueda, almacenados en un repositorio. Ninguna decisión sobre personas se toma automáticamente a partir de esos metadatos.
Clasificación: Riesgo aceptable. Obligaciones: Informar al usuario sobre el uso de IA si es relevante, documentar políticas de uso, cumplir Ley 29733 si los documentos contienen datos personales.
Caso 2: OCR que Alimenta Evaluación de Crédito — Riesgo Alto
Flujo: Un sistema extrae datos de declaraciones tributarias o estados de cuenta mediante OCR, y esos datos alimentan un modelo que aprueba o rechaza créditos automáticamente.
Clasificación: Riesgo alto (evaluación crediticia por IA, explícita en reglamento). Obligaciones: Supervisión humana obligatoria antes de decisión final, explicación al cliente rechazado, documentación técnica del modelo, registro conservado por mínimo 3 años, aviso de privacidad actualizado. Plazo: Finanzas hasta 10 de septiembre de 2026.
Caso 3: Clasificación de Historias Clínicas — Riesgo Alto en Salud
Flujo: Un sistema clasifica historias clínicas digitalizadas por diagnóstico o condición, y esa clasificación determina coberturas de seguro o prioridades de atención.
Clasificación: Riesgo alto. Obligaciones: Supervisión médica humana en toda decisión de cobertura, transparencia con el paciente, documentación de funcionamiento conservada. Plazo: Salud hasta 10 de septiembre de 2026.
Caso 4: Cribado de CVs para Selección — Riesgo Alto
Flujo: Un sistema analiza CVs cargados, extrae información mediante reconocimiento de caracteres (ICR) y clasifica automáticamente candidatos como aptos o no aptos.
Clasificación: Riesgo alto (selección de personal, explícita en reglamento). Obligaciones: Revisión humana antes de cualquier descarte definitivo, información al candidato sobre uso de IA, documentación de criterios del modelo. El software de terceros no transfiere responsabilidad: quien lo contrata es responsable del cumplimiento.
Rol de la Microforma Certificada en Auditoría de IA
El DS 115-2025-PCM exige que los sistemas de riesgo alto mantengan registro documentado del funcionamiento y que la documentación relevante se conserve por mínimo 3 años. Esto plantea una pregunta práctica: ¿cómo se prueba ante un auditor que el documento procesado era el que se dice que era, en el momento que se dice que fue procesado?
Trazabilidad Legal del Documento en el Momento del Procesamiento
La microforma certificada bajo NTP 392.030-2:2015 genera evidencia legal inalterable del estado de un documento en un momento específico: fecha, integridad y origen verificables mediante Fedatario Juramentado y cadena de custodia certificada. En un flujo documental con IA —donde el OCR procesa un contrato o una declaración financiera, y esa extracción alimenta una decisión de riesgo alto— la microforma del documento original prueba que el input del sistema era íntegro, auténtico y no alterado.
Esto satisface el requisito de auditabilidad ante la SGTD, la ANPDP o una fiscalización sectorial, porque responde la pregunta que cualquier auditor formulará: ¿qué documento exactamente procesó el sistema, cuándo, y en qué estado se encontraba? La microforma no reemplaza la IA ni sus controles; es la evidencia legal que hace auditable el flujo.
AyP Digital opera como Organismo de Producción de Microformas certificado por SGS bajo NTP 392.030-2:2015, lo que permite integrar esta capa de trazabilidad en flujos documentales que incluyen procesamiento por IA.
Conservación de 3 Años: Cómo la Microforma Satisface el Requisito
La microforma tiene valor legal equivalente al documento original (Ley 26612), con durabilidad verificada. El requisito del DS 115-2025-PCM de conservar documentación por mínimo 3 años se satisface con registros en microforma porque cumplen los estándares de integridad e inalterabilidad que una auditoría legal requiere.
Hoja de Ruta: Qué Debe Hacer Su Empresa Este Año
La siguiente propuesta de fases es ilustrativa; los plazos legales dependen del sector de cada empresa.
Mes 1: Mapeo e Inventario de Sistemas de IA
- Listar todos los sistemas, herramientas y procesos con IA, incluyendo soluciones contratadas a terceros.
- Documentar para cada sistema: qué hace, qué datos procesa, qué decisiones apoya o toma.
- Identificar si el sistema toma decisiones que afectan a personas (clientes, empleados, pacientes, ciudadanos).
Meses 2-3: Clasificación de Riesgos Según DS 115-2025-PCM
- Aplicar la matriz de riesgo: evaluar el impacto del output, no solo la tecnología.
- Determinar si algún sistema cae en las prohibiciones expresas (acción inmediata requerida).
- Para cada sistema de riesgo alto, identificar brechas respecto a las obligaciones del reglamento.
- Verificar a qué plazo sectorial pertenece la empresa.
Meses 3-6: Implementación de Controles por Riesgo
- Para riesgo alto: diseñar mecanismos de supervisión humana, actualizar avisos de privacidad, documentar arquitectura del sistema y criterios de decisión.
- Para riesgo aceptable: revisar que los avisos al usuario sean adecuados y que las políticas internas estén documentadas.
- Implementar registros de funcionamiento con retención mínima de 3 años.
Mes 6 en Adelante: Documentación, NTP-ISO/IEC 42001 y Sandbox
- NTP-ISO/IEC 42001:2025 (aprobada por INACAL en 2025): obligatoria para sector público, voluntaria para el sector privado pero el marco más directo para documentar el sistema de gestión de IA ante reguladores. Adoptar sus controles antes del plazo sectorial reduce significativamente el riesgo de incumplimiento.
- Para empresas que quieren pilotar nuevas capacidades de IA antes del despliegue masivo, evaluar el acceso al sandbox regulatorio habilitado por el DS 115-2025-PCM.
- Establecer revisiones periódicas del inventario, dado que nuevas implementaciones pueden cambiar la clasificación de riesgo del flujo completo.
Checklist de verificación mínima (sector privado):
- Inventario de sistemas de IA documentado y actualizado.
- Clasificación de riesgo realizada para cada sistema.
- Aviso de privacidad actualizado para reflejar tratamiento por IA.
- Mecanismos de supervisión humana implementados para sistemas de riesgo alto.
- Registro de funcionamiento con retención de 3 años en marcha.
- Plazo sectorial identificado y plan de adecuación activo.
El marco peruano de IA —Ley 31814 más DS 115-2025-PCM— no es el más restrictivo de la región, pero sí es uno de los más operativos: tiene clasificación clara, autoridad designada, plazos verificables y mecanismos de derivación de sanciones a entidades existentes. Para empresas que usan IA en gestión documental, el punto de partida es clasificar honestamente sus flujos: no todo OCR es riesgo alto, pero todo OCR que determina derechos sí lo es. Identificar esa línea hoy, antes del plazo sectorial, es la diferencia entre una adecuación ordenada y una contingencia legal.
