De la idea a la acción: las nuevas obligaciones del sector privado ante la inteligencia artificial
La inteligencia artificial (IA) ha dejado de ser una promesa futurista para convertirse en una herramienta cotidiana que transforma industrias, servicios y relaciones humanas. En este contexto, Perú ha dado un paso histórico con la promulgación de la Ley N° 31814 y su Reglamento aprobado por el Decreto Supremo N° 115-2025-PCM, estableciendo el primer marco legal integral sobre IA en América Latina. Esta normativa coloca al Perú a la vanguardia regional y plantea a las empresas privadas el desafío de alinear la innovación con estándares éticos, legales y de transparencia.
En coherencia con este desafío, el Reglamento detalla los principios rectores que deben guiar el desarrollo y uso de la IA: no discriminación, protección de datos personales, transparencia algorítmica, supervisión humana y respeto de los derechos fundamentales. Todos ellos responden a una premisa central: la IA debe estar al servicio del bienestar colectivo y no convertirse en un factor de exclusión, opacidad o vulneración de derechos. En esa línea, la norma recuerda que los beneficios de la tecnología solo se materializan cuando se implementa bajo estándares éticos y legales claros, lo que abre un nuevo campo de acción para empresas y reguladores.
Un eje central del Reglamento es su enfoque basado en riesgos, que establece una clasificación en tres niveles. En primer lugar, los usos prohibidos, que deben eliminarse por completo, como la manipulación subliminal de personas, los sistemas autónomos con capacidad letal en el ámbito civil, la vigilancia masiva sin base legal o el análisis biométrico que derive en discriminación. En segundo lugar, los usos de alto riesgo, presentes en sectores sensibles como educación, salud, programas sociales, selección de personal, justicia, servicios financieros y gestión de activos críticos. Estos pueden desarrollarse, pero únicamente bajo estrictas condiciones de transparencia, supervisión humana, evaluaciones de impacto y mecanismos de control. Finalmente, todo uso de IA que no encaje en estas categorías se considera de riesgo aceptable.
Llevando estos principios al plano práctico, el Reglamento impone obligaciones concretas a los actores privados, especialmente a desarrolladores e implementadores de sistemas de IA. Los desarrolladores son aquellas personas o empresas que diseñan, programan o entrenan sistemas de IA, como OpenAI, Microsoft, Google o startups tecnológicas que crean algoritmos de recomendación o entrenan modelos de análisis predictivo. Los implementadores, en cambio, son quienes integran o despliegan esos sistemas dentro de procesos productivos u operativos, por ejemplo, un banco que incorpora un modelo de scoring crediticio, una clínica que utiliza IA para diagnóstico médico, o un e-commerce que integra chatbots inteligentes en su atención al cliente.
Sobre esta base, el Reglamento establece un conjunto de obligaciones específicas que definen cómo deben actuar los desarrolladores e implementadores en la práctica. Entre las principales exigencias destacan:
Identificación y clasificación de riesgos: Las empresas deben inventariar todos sus sistemas de IA y clasificarlos según el nivel de riesgo (prohibido, alto o aceptable). Esta evaluación es obligatoria y constituye el punto de partida para determinar qué obligaciones adicionales aplican.
Registro y documentación: Los sistemas de IA de riesgo alto deben contar con un registro actualizado sobre su funcionamiento, fuentes de datos, lógica algorítmica e impactos sociales y éticos previstos.
Transparencia Algorítmica: Los sistemas de alto riesgo deben informar claramente a los usuarios sobre su finalidad, funcionamiento y tipo de decisiones que generan. Esto incluye etiquetado visible, explicaciones accesibles y mecanismos para impugnar decisiones automatizadas.
Políticas internas y protocolos: Los actores privados deben aprobar políticas, protocolos y procedimientos claros que aseguren seguridad, privacidad, transparencia y rendición de cuentas en el ciclo de vida del sistema basado en IA.
Supervisión humana efectiva: Las decisiones automatizadas deben estar siempre sujetas a revisión humana. El personal responsable debe estar capacitado y facultado para intervenir oportunamente, ya sea corrigiendo, deteniendo o invalidando decisiones del sistema cuando estas puedan afectar derechos fundamentales o generar riesgos significativos.
Evaluación de impacto: Aunque constituye una práctica voluntaria, a diferencia de lo exigido en el sector público, el Reglamento fomenta la realización de evaluaciones de impacto en IA para todos los sistemas de alto riesgo en el ámbito privado. Estas evaluaciones deben identificar los riesgos potenciales que el sistema pueda generar en materia de derechos fundamentales, discriminación, privacidad, seguridad o impacto social, y proponer medidas de mitigación concretas. Si se realiza, esta documentación debe ser conservada por un período mínimo de tres años.
Adopción de estándares técnicos: Se promueve el uso de normas internacionales como la NTP-ISO/IEC 42001:2025, que establece sistemas de gestión para IA, así como otras relacionadas con ciberseguridad, privacidad y gobernanza.
El cumplimiento de estas obligaciones será supervisado por la Secretaría de Gobierno y Transformación Digital, que actúa como órgano rector del marco normativo de IA. En caso de detectar incumplimientos, la Secretaría no impone sanciones directamente, sino que traslada la información a las autoridades competentes según la materia. Así, por ejemplo, el INDECOPI podrá intervenir en aspectos vinculados a la protección del consumidor y la libre competencia; la ANPDP en materia de protección de datos personales; la SUNAFIL frente a posibles infracciones laborales relacionadas con el uso de IA en recursos humanos; y el OEFA en lo referido a impactos ambientales. De este modo, el Reglamento articula un sistema de control interinstitucional que asegura que la IA se desarrolle y utilice en el país bajo criterios de legalidad, transparencia y responsabilidad.
En ese sentido, el Reglamento abre un espacio estratégico para que el sector privado asuma un rol protagónico en la construcción de un ecosistema de inteligencia artificial confiable y competitivo. Las empresas ya no pueden limitarse a adoptar soluciones tecnológicas: deben elevar sus estándares de gobernanza, invertir en talento especializado, implementar políticas claras y fortalecer la transparencia como valor diferencial frente a consumidores e inversionistas. El verdadero desafío está en entender que el cumplimiento normativo no es un costo adicional, sino una oportunidad para innovar con confianza.
Por Alejandro Morales Cáceres
Socio y líder del Área de Derecho y Nuevas Tecnologías – TyTL Abogados
Mira más contenidos en Facebook, X, Instagram, LinkedIn, YouTube, TikTok y en nuestros canales de difusión de WhatsApp y de Telegram para recibir las noticias del momento.
