Por Renzo Perez Bartra · Fundador de Futuraria

Clasificación de riesgo de IA en Perú: Prohibido, Alto y Aceptable según el DS 115-2025-PCM

Si tu empresa usa o desarrolla inteligencia artificial en Perú, hay una pregunta que necesitas responder hoy: ¿en qué categoría de riesgo cae tu sistema? La clasificación de riesgo IA en Perú determina si puedes seguir usándolo, qué controles necesitas implementar y qué consecuencias enfrentas si no cumples. Las tres categorías —prohibido, alto y aceptable— definen el marco de cumplimiento para toda empresa peruana.

El Decreto Supremo Nº 115-2025-PCM, publicado el 9 de septiembre de 2025, aprobó el Reglamento de la Ley Nº 31814 y estableció un sistema de clasificación de riesgo inspirado en el AI Act europeo. No es opcional. No es una recomendación. Es el marco regulatorio vigente que toda entidad pública y privada en Perú debe conocer.

Esta guía te explica las tres categorías de riesgo, qué significa cada una para tu negocio y qué hacer si tu sistema de IA cae en alguna de ellas.

Las tres categorías de riesgo de IA en Perú

El DS 115-2025-PCM clasifica los sistemas de inteligencia artificial en tres niveles:

1. Uso indebido (prohibido) → No puedes usarlo bajo ninguna circunstancia. 2. Riesgo alto → Puedes usarlo, pero con controles estrictos y evaluación previa. 3. Riesgo aceptable → Puedes usarlo cumpliendo buenas prácticas de transparencia.

Esta clasificación no es teórica. Define obligaciones concretas, plazos de cumplimiento y consecuencias reales.

Uso indebido: Lo que está prohibido en Perú

Según el DS 115-2025-PCM, un sistema de IA se considera de uso indebido (prohibido) cuando se usa para impactar de manera irreversible, significativa y negativa en los derechos fundamentales o en el bienestar de las personas. Esto incluye:

Vigilancia masiva sin base legal

Cualquier sistema de IA que realice vigilancia masiva en espacios públicos sin una orden judicial o base legal específica está prohibido. No se trata de cámaras de seguridad individuales; se trata de sistemas que monitorean de forma masiva y automatizada a poblaciones enteras.

Manipulación de decisiones humanas

Sistemas diseñados para manipular el comportamiento de las personas de manera dañina, como técnicas de manipulación subliminal o sistemas que explotan vulnerabilidades psicológicas.

Identificación biométrica en tiempo real en espacios públicos

El reconocimiento facial u otras técnicas biométricas en tiempo real en espacios públicos están prohibidos cuando afecten el ejercicio de derechos fundamentales. Existen excepciones (por ejemplo, búsqueda de personas desaparecidas), pero son limitadas y requieren autorización específica.

Sistemas con capacidad letal autónoma

Armas que pueden seleccionar y atacar objetivos sin intervención humana significativa.

Calificación social (social scoring)

Sistemas que evalúan a las personas basándose en su comportamiento social o características personales de manera sistemática, similar al "crédito social" de otros países. Consecuencia: Si tu empresa desarrolla o usa un sistema que cae en esta categoría, debe suspenderlo inmediatamente. No hay plazo de adaptación. No hay sandbox que lo salve. La SGTD (Secretaría de Gobierno y Transformación Digital) debe derivar el caso a las entidades competentes.

Riesgo alto: Los sistemas más regulados

Los sistemas de riesgo alto son aquellos cuyo uso supone un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y los demás derechos fundamentales. A diferencia de los prohibidos, sí pueden usarse, pero bajo condiciones estrictas.

¿Qué sistemas son de riesgo alto?

El DS 115-2025-PCM identifica específicamente:

Procesos de selección, evaluación, contratación y cese de trabajadores: Si tu empresa usa IA para filtrar CVs, evaluar candidatos o decidir despidos, tu sistema es de riesgo alto.
Evaluaciones en procesos educativos de niños, niñas y adolescentes: Sistemas que califican o evalúan a menores mediante IA.
Diagnósticos médicos: Herramientas de IA que asisten o automatizan diagnósticos de salud.
Evaluación crediticia: Sistemas de scoring crediticio automatizado.
Sectores críticos: Salud, energía, banca, transporte.

Obligaciones para sistemas de riesgo alto

Si tu sistema es de riesgo alto, debes cumplir con:

1. Evaluación previa obligatoria Antes de implementar el sistema, debes someterlo a una evaluación que identifique riesgos para derechos fundamentales. 2. Transparencia algorítmica Debes informar al usuario, de forma previa, clara y sencilla, sobre la finalidad y funcionalidades del sistema. El usuario debe saber que está interactuando con IA. 3. Supervisión humana efectiva Debe existir un mecanismo para que un humano pueda intervenir, revisar y, si es necesario, rechazar las decisiones del sistema de IA. No basta con tener un humano "de respaldo"; la supervisión debe ser real y documentada. 4. Registro y documentación Debes mantener un registro actualizado y accesible del funcionamiento del sistema, incluyendo los datos utilizados, las decisiones tomadas y las auditorías realizadas. 5. Políticas y protocolos Debes establecer políticas, protocolos y procedimientos claros para garantizar la privacidad, seguridad y transparencia del sistema.

¿Quién supervisa?

La SGTD de la PCM, en su calidad de Autoridad Nacional, realiza un monitoreo con enfoque preventivo sobre los sistemas de riesgo alto. Si detecta incumplimientos, deriva los casos a:

ANPDP (Autoridad Nacional de Protección de Datos Personales) si hay vulneración de privacidad.
INDECOPI si hay afectación a derechos de consumidores o controversias de derechos de autor.
Contraloría General de la República si involucra responsabilidades de funcionarios públicos.

Es importante destacar: el DS 115-2025-PCM NO crea un régimen sancionador propio para la SGTD. Las sanciones provienen de las entidades competentes ya existentes.

Riesgo aceptable: La categoría de la mayoría

Todos los sistemas de IA que no caen en las categorías anteriores se consideran de riesgo aceptable. Esto incluye la mayoría de herramientas que usan las empresas peruanas:

Chatbots de atención al cliente
Sistemas de recomendación de productos
Filtros de spam
Herramientas de diseño con IA (Canva AI, etc.)
Asistentes de productividad (ChatGPT para redactar, Copilot, etc.)
Automatización de marketing
Gestión de inventario con predicción

Obligaciones para riesgo aceptable

Las obligaciones son más ligeras pero no inexistentes:

Buenas prácticas de transparencia: Informar al usuario cuando interactúa con IA.
Protección de datos: Cumplir con la normativa de privacidad vigente.
Principios generales: Respetar los principios del Art. 7 del DS 115-2025-PCM (no discriminación, seguridad, proporcionalidad, fiabilidad).

¿Cómo saber en qué categoría está tu sistema?

Hazte estas preguntas:

1. ¿Tu sistema toma decisiones que afectan derechos fundamentales? (empleo, crédito, salud, educación de menores) → Probablemente riesgo alto. 2. ¿Tu sistema monitorea o identifica personas masivamente? → Probablemente prohibido. 3. ¿Tu sistema solo procesa datos internos o ayuda en productividad? → Probablemente riesgo aceptable. 4. ¿Tu sistema interactúa con clientes o usuarios finales? → Verifica que cumpla principios de transparencia.

En caso de duda, consulta con la SGTD o con un asesor especializado. La clasificación incorrecta puede tener consecuencias serias.

Cronograma de implementación

El DS 115-2025-PCM establece plazos graduales:

El reglamento entró en vigor el 22 de enero de 2026 (90 días hábiles después de su publicación el 9 de septiembre de 2025).
Plazos diferenciados según sector y tamaño empresarial.
Las MYPES tienen plazos más largos para adaptarse.
Las entidades públicas deben aprobar su plan de acción de IA con horizonte no menor de 3 años.

Preguntas frecuentes

¿Mi chatbot de WhatsApp es de riesgo alto? No necesariamente. Si solo responde preguntas frecuentes y no toma decisiones que afecten derechos (como aprobar créditos o evaluar empleados), probablemente es de riesgo aceptable. Pero debes informar al usuario que está interactuando con IA. ¿Qué pasa si mi sistema es de riesgo alto y no he hecho la evaluación previa? Actualmente la SGTD está en fase de implementación del monitoreo. Sin embargo, una vez que los mecanismos de supervisión estén operativos, el incumplimiento podría derivar en acciones por parte de INDECOPI, ANPDP o la entidad competente. Lo mejor es adelantarte. ¿Puedo usar un sistema prohibido en un sandbox regulatorio? No. Los usos prohibidos están vetados bajo cualquier circunstancia. El sandbox aplica para sistemas de riesgo alto que necesitan un entorno controlado de prueba, no para usos que la ley prohíbe expresamente. ¿Quién decide si mi sistema es de riesgo alto o aceptable? Tú como desarrollador o implementador debes hacer la clasificación inicial. La SGTD puede revisar y reclasificar durante su monitoreo. Si hay duda, es mejor clasificar como riesgo alto y cumplir los controles adicionales. ¿Las empresas extranjeras que operan en Perú también deben cumplir? Sí. El DS 115-2025-PCM aplica a las organizaciones del sector privado que integran el Sistema Nacional de Transformación Digital. Si tu empresa ofrece servicios de IA en territorio peruano, la regulación te aplica. ¿Necesitas evaluar el nivel de riesgo de tus sistemas de IA? En Futuraria te ayudamos a clasificar tus sistemas, implementar los controles necesarios y asegurar el cumplimiento de la regulación peruana. Hablemos. Fuentes:

ARTÍCULO NUEVO 2

⚠️ Aviso: Este artículo tiene fines informativos y no constituye asesoría legal. Para decisiones de compliance, consulta con un abogado especializado en regulación de IA.

¿Tu empresa necesita prepararse para la ENIA?

Habla con Futuraria →