Oficial de Inteligencia Artificial: El nuevo rol en Perú según la ENIA

Por Renzo Perez Bartra · Fundador de Futuraria

# Oficial de Inteligencia Artificial en Perú: Todo sobre el nuevo rol que exige la ENIA

Hay un nuevo rol profesional en Perú que va a generar demanda en los próximos años. Es el Oficial de Inteligencia Artificial (OIA), la figura clave de la ENIA que todo profesional de tecnología, compliance o gestión empresarial en Perú necesita entender. Si trabajas en tecnología, compliance, legal o gestión empresarial, necesitas entender qué es el OIA y por qué existe.

La ENIA, aprobada el 1 de mayo de 2026 mediante la RM Nº 152-2026-PCM, introduce la figura del OIA como mecanismo central de gobernanza de la IA. Para entidades públicas, no es opcional. Para el sector privado, es una figura recomendable como buena práctica.

¿Qué es el Oficial de Inteligencia Artificial (OIA)?

Según el análisis de Garrigues:

"Se crea la figura del oficial de inteligencia artificial (OIA) como responsable de coordinar el gobierno y la gestión de la IA en cada entidad. Realiza el seguimiento de la implementación del plan de acción de IA con reportes trimestrales. Asimismo, supervisa que los modelos y algoritmos de riesgo alto cumplan con estándares de calidad y ética."

¿A quién aplica?

Entidades públicas: Obligatorio. Se designa previamente a la formulación del plan de acción de IA.
Sector privado: No obligatorio bajo la ENIA. Recomendable como buena práctica.

¿Qué hace un OIA en la práctica?

Las responsabilidades del OIA en el sector público incluyen:

1. Seguimiento del plan de acción de IA

Reportes trimestrales sobre la implementación del plan
Supervisión de modelos y algoritmos de riesgo alto

2. Coordinación de gobernanza de IA

Coordinar el gobierno y la gestión de la IA en la entidad
Articular con el equipo técnico de datos e IA

3. Cumplimiento normativo

Asegurar que los sistemas cumplan con la Ley 31814, el DS 115-2025-PCM y los reglamentos derivados
Coordinar la alineación con la NTP-ISO/IEC 42001:2025

4. Transparencia y supervisión ética

Supervisar que los modelos de riesgo alto cumplan estándares de calidad y ética
Documentar el funcionamiento de los sistemas de IA

¿Quién puede ser OIA?

La SGTD tiene 90 días hábiles para aprobar los lineamientos sobre el perfil, responsabilidades, designación y articulación del OIA. (Fuente: Garrigues)

Mientras tanto, el perfil ideal combina:

Conocimiento técnico

Comprensión de qué es la IA, cómo funciona y qué puede hacer
Familiaridad con machine learning, sesgo algorítmico, explicabilidad

Conocimiento regulatorio

Entendimiento del marco legal peruano en datos personales y regulación tecnológica
Comprensión de principios éticos de IA

Capacidad de gestión

Coordinación de equipos multidisciplinarios
Capacidad de reporte y documentación

El OIA y el equipo técnico de datos e IA

Según Garrigues, las entidades públicas que aprueben su plan de acción de IA deben constituir un equipo técnico de datos e inteligencia artificial. Este equipo es responsable de analizar, diseñar e implementar las soluciones basadas en IA que señale el plan de acción.

Esto significa que el OIA no trabaja solo: coordina con un equipo técnico dedicado.

El OIA como oportunidad profesional

Para los profesionales de tecnología, compliance y gestión en Perú, el OIA representa una nueva línea de carrera:

Demanda creciente: Todas las entidades públicas necesitarán un OIA. Son miles de organizaciones.
Perfil escaso: Pocos profesionales combinan conocimiento técnico de IA con marco regulatorio.
Potencial consultivo: Profesionales con experiencia como OIA pueden ofrecer servicios de consultoría.

¿Cómo prepararte para ser OIA?

1. Formación técnica en IA: Cursos sobre fundamentos de machine learning y aplicaciones de IA 2. Especialización regulatoria: Estudia la Ley 31814, el DS 115-2025-PCM y la ENIA 3. Certificaciones internacionales: ISO 42001 Lead Implementer o auditor 4. Experiencia práctica: Participa en proyectos de IA en tu organización 5. Networking: Conéctate con el ecosistema de IA peruano

Preguntas frecuentes

¿Es obligatorio que mi empresa privada tenga un OIA? No bajo la ENIA. El OIA es obligatorio para entidades públicas. Para empresas privadas, es una buena práctica recomendable. (Fuente: Garrigues) ¿Puedo ser OIA de mi propia empresa si soy el dueño? En PYMEs privadas, no hay impedimento legal para que el propietario asuma funciones de supervisión de IA, ya que el OIA no es obligatorio para el sector privado. ¿Necesito una certificación para ser OIA? La ENIA no exige una certificación específica para el OIA. Los lineamientos se publicarán en 90 días hábiles. Certificaciones como ISO 42001 serán valoradas. ¿Qué pasa si mi empresa pública no designa un OIA? Incumple la ENIA. Las entidades públicas deben designar un OIA previamente a la formulación de su plan de acción de IA. ¿El OIA trabaja solo? No. Las entidades que aprueben su plan de acción deben constituir un equipo técnico de datos e IA que implemente las soluciones. Fuentes: Garrigues | BNamericas | Mejía Trujillo Todos los artículos fueron revisados y corregidos por el equipo de Futuraria con base en fuentes oficiales verificadas.

# PARTE 3: ARTÍCULOS NUEVOS (Los 5 más importantes)

ARTÍCULO NUEVO 1

# Clasificación de riesgo de IA en Perú: Prohibido, Alto y Aceptable según el DS 115-2025-PCM

Si tu empresa usa o desarrolla inteligencia artificial en Perú, hay una pregunta que necesitas responder hoy: ¿en qué categoría de riesgo cae tu sistema? La respuesta determina si puedes seguir usándolo, qué controles necesitas implementar y qué consecuencias enfrentas si no cumples.

El Decreto Supremo Nº 115-2025-PCM, publicado el 9 de septiembre de 2025, aprobó el Reglamento de la Ley Nº 31814 y estableció un sistema de clasificación de riesgo inspirado en el AI Act europeo. No es opcional. No es una recomendación. Es el marco regulatorio vigente que toda entidad pública y privada en Perú debe conocer.

Esta guía te explica las tres categorías de riesgo, qué significa cada una para tu negocio y qué hacer si tu sistema de IA cae en alguna de ellas.

Las tres categorías de riesgo de IA en Perú

El DS 115-2025-PCM clasifica los sistemas de inteligencia artificial en tres niveles:

1. Uso indebido (prohibido) → No puedes usarlo bajo ninguna circunstancia. 2. Riesgo alto → Puedes usarlo, pero con controles estrictos y evaluación previa. 3. Riesgo aceptable → Puedes usarlo cumpliendo buenas prácticas de transparencia.

Esta clasificación no es teórica. Define obligaciones concretas, plazos de cumplimiento y consecuencias reales.

Uso indebido: Lo que está prohibido en Perú

Según el DS 115-2025-PCM, un sistema de IA se considera de uso indebido (prohibido) cuando se usa para impactar de manera irreversible, significativa y negativa en los derechos fundamentales o en el bienestar de las personas. Esto incluye:

Vigilancia masiva sin base legal

Cualquier sistema de IA que realice vigilancia masiva en espacios públicos sin una orden judicial o base legal específica está prohibido. No se trata de cámaras de seguridad individuales; se trata de sistemas que monitorean de forma masiva y automatizada a poblaciones enteras.

Manipulación de decisiones humanas

Sistemas diseñados para manipular el comportamiento de las personas de manera dañina, como técnicas de manipulación subliminal o sistemas que explotan vulnerabilidades psicológicas.

Identificación biométrica en tiempo real en espacios públicos

El reconocimiento facial u otras técnicas biométricas en tiempo real en espacios públicos están prohibidos cuando afecten el ejercicio de derechos fundamentales. Existen excepciones (por ejemplo, búsqueda de personas desaparecidas), pero son limitadas y requieren autorización específica.

Sistemas con capacidad letal autónoma

Armas que pueden seleccionar y atacar objetivos sin intervención humana significativa.

Calificación social (social scoring)

Sistemas que evalúan a las personas basándose en su comportamiento social o características personales de manera sistemática, similar al "crédito social" de otros países. Consecuencia: Si tu empresa desarrolla o usa un sistema que cae en esta categoría, debe suspenderlo inmediatamente. No hay plazo de adaptación. No hay sandbox que lo salve. La SGTD (Secretaría de Gobierno y Transformación Digital) debe derivar el caso a las entidades competentes.

Riesgo alto: Los sistemas más regulados

Los sistemas de riesgo alto son aquellos cuyo uso supone un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y los demás derechos fundamentales. A diferencia de los prohibidos, sí pueden usarse, pero bajo condiciones estrictas.

¿Qué sistemas son de riesgo alto?

El DS 115-2025-PCM identifica específicamente:

Procesos de selección, evaluación, contratación y cese de trabajadores: Si tu empresa usa IA para filtrar CVs, evaluar candidatos o decidir despidos, tu sistema es de riesgo alto.
Evaluaciones en procesos educativos de niños, niñas y adolescentes: Sistemas que califican o evalúan a menores mediante IA.
Diagnósticos médicos: Herramientas de IA que asisten o automatizan diagnósticos de salud.
Evaluación crediticia: Sistemas de scoring crediticio automatizado.
Sectores críticos: Salud, energía, banca, transporte.

Obligaciones para sistemas de riesgo alto

Si tu sistema es de riesgo alto, debes cumplir con:

1. Evaluación previa obligatoria Antes de implementar el sistema, debes someterlo a una evaluación que identifique riesgos para derechos fundamentales. 2. Transparencia algorítmica Debes informar al usuario, de forma previa, clara y sencilla, sobre la finalidad y funcionalidades del sistema. El usuario debe saber que está interactuando con IA. 3. Supervisión humana efectiva Debe existir un mecanismo para que un humano pueda intervenir, revisar y, si es necesario, rechazar las decisiones del sistema de IA. No basta con tener un humano "de respaldo"; la supervisión debe ser real y documentada. 4. Registro y documentación Debes mantener un registro actualizado y accesible del funcionamiento del sistema, incluyendo los datos utilizados, las decisiones tomadas y las auditorías realizadas. 5. Políticas y protocolos Debes establecer políticas, protocolos y procedimientos claros para garantizar la privacidad, seguridad y transparencia del sistema.

¿Quién supervisa?

La SGTD de la PCM, en su calidad de Autoridad Nacional, realiza un monitoreo con enfoque preventivo sobre los sistemas de riesgo alto. Si detecta incumplimientos, deriva los casos a:

ANPDP (Autoridad Nacional de Protección de Datos Personales) si hay vulneración de privacidad.
INDECOPI si hay afectación a derechos de consumidores o controversias de derechos de autor.
Contraloría General de la República si involucra responsabilidades de funcionarios públicos.

Es importante destacar: el DS 115-2025-PCM NO crea un régimen sancionador propio para la SGTD. Las sanciones provienen de las entidades competentes ya existentes.

Riesgo aceptable: La categoría de la mayoría

Todos los sistemas de IA que no caen en las categorías anteriores se consideran de riesgo aceptable. Esto incluye la mayoría de herramientas que usan las empresas peruanas:

Chatbots de atención al cliente
Sistemas de recomendación de productos
Filtros de spam
Herramientas de diseño con IA (Canva AI, etc.)
Asistentes de productividad (ChatGPT para redactar, Copilot, etc.)
Automatización de marketing
Gestión de inventario con predicción

Obligaciones para riesgo aceptable

Las obligaciones son más ligeras pero no inexistentes:

Buenas prácticas de transparencia: Informar al usuario cuando interactúa con IA.
Protección de datos: Cumplir con la normativa de privacidad vigente.
Principios generales: Respetar los principios del Art. 7 del DS 115-2025-PCM (no discriminación, seguridad, proporcionalidad, fiabilidad).

¿Cómo saber en qué categoría está tu sistema?

Hazte estas preguntas:

1. ¿Tu sistema toma decisiones que afectan derechos fundamentales? (empleo, crédito, salud, educación de menores) → Probablemente riesgo alto. 2. ¿Tu sistema monitorea o identifica personas masivamente? → Probablemente prohibido. 3. ¿Tu sistema solo procesa datos internos o ayuda en productividad? → Probablemente riesgo aceptable. 4. ¿Tu sistema interactúa con clientes o usuarios finales? → Verifica que cumpla principios de transparencia.

En caso de duda, consulta con la SGTD o con un asesor especializado. La clasificación incorrecta puede tener consecuencias serias.

Cronograma de implementación

El DS 115-2025-PCM establece plazos graduales:

El reglamento entró en vigor el 22 de enero de 2026 (90 días hábiles después de su publicación el 9 de septiembre de 2025).
Plazos diferenciados según sector y tamaño empresarial.
Las MYPES tienen plazos más largos para adaptarse.
Las entidades públicas deben aprobar su plan de acción de IA con horizonte no menor de 3 años.

Preguntas frecuentes

¿Mi chatbot de WhatsApp es de riesgo alto? No necesariamente. Si solo responde preguntas frecuentes y no toma decisiones que afecten derechos (como aprobar créditos o evaluar empleados), probablemente es de riesgo aceptable. Pero debes informar al usuario que está interactuando con IA. ¿Qué pasa si mi sistema es de riesgo alto y no he hecho la evaluación previa? Actualmente la SGTD está en fase de implementación del monitoreo. Sin embargo, una vez que los mecanismos de supervisión estén operativos, el incumplimiento podría derivar en acciones por parte de INDECOPI, ANPDP o la entidad competente. Lo mejor es adelantarte. ¿Puedo usar un sistema prohibido en un sandbox regulatorio? No. Los usos prohibidos están vetados bajo cualquier circunstancia. El sandbox aplica para sistemas de riesgo alto que necesitan un entorno controlado de prueba, no para usos que la ley prohíbe expresamente. ¿Quién decide si mi sistema es de riesgo alto o aceptable? Tú como desarrollador o implementador debes hacer la clasificación inicial. La SGTD puede revisar y reclasificar durante su monitoreo. Si hay duda, es mejor clasificar como riesgo alto y cumplir los controles adicionales. ¿Las empresas extranjeras que operan en Perú también deben cumplir? Sí. El DS 115-2025-PCM aplica a las organizaciones del sector privado que integran el Sistema Nacional de Transformación Digital. Si tu empresa ofrece servicios de IA en territorio peruano, la regulación te aplica. ¿Necesitas evaluar el nivel de riesgo de tus sistemas de IA? En Futuraria te ayudamos a clasificar tus sistemas, implementar los controles necesarios y asegurar el cumplimiento de la regulación peruana. Hablemos. Fuentes:

ARTÍCULO NUEVO 2

# Sanciones por incumplimiento de la regulación de IA en Perú: Qué puede pasar si no cumples

Uno de los errores más comunes sobre la regulación de inteligencia artificial en Perú es pensar que "no pasa nada" si no cumples. Es una idea comprensible: la ley es nueva, la reglamentación acaba de entrar en vigor y muchos ni siquiera saben que existe.

Pero la realidad es diferente. Las consecuencias del incumplimiento existen, están dispersas en múltiples normas y pueden afectar a tu empresa de maneras que no esperas. No hay una "multa de IA" única, pero hay al menos cuatro caminos regulatorios que pueden llegar a tu negocio.

Este artículo desglosa, sin alarmismo pero con precisión, qué puede pasar si tu empresa ignora la regulación de IA en Perú.

El marco: No hay régimen sancionador único

Lo primero que necesitas entender es que el DS 115-2025-PCM no crea un régimen sancionador propio. Esto es importante porque muchos artículos en internet sugieren que existe una autoridad que multa directamente por incumplimientos de IA. No es así.

Lo que sí existe es un sistema de derivación: la SGTD (Secretaría de Gobierno y Transformación Digital), como Autoridad Nacional, detecta incumplimientos y los deriva a las entidades competentes según el tipo de infracción.

Las 4 vías de consecuencias

1. Protección de datos personales → ANPDP

Si tu sistema de IA procesa datos personales sin cumplir las obligaciones de privacidad y transparencia, la Autoridad Nacional de Protección de Datos Personales (ANPDP) puede actuar.

¿Cuándo aplica?

Tu sistema de IA recopila datos personales sin consentimiento informado.
No has comunicado a los usuarios que interactúan con un sistema automatizado.
Usas datos personales para entrenar modelos sin base legal.
No cumples con los derechos ARCO (acceso, rectificación, cancelación, oposición).

¿Qué puede pasar?

Las sanciones de la ANPDP están reguladas por la Ley 29733 (Ley de Protección de Datos Personales) y su reglamento. Las infracciones se clasifican en leves, graves y muy graves, con multas que pueden alcanzar hasta 50 UIT (S/ 257,500 en 2026) para personas jurídicas en casos de infracciones muy graves.

Ejemplo real

Una empresa que usa IA para analizar el comportamiento de compra de sus clientes y comparte esos datos con terceros sin consentimiento informado estaría cometiendo una infracción grave ante la ANPDP.

2. Derechos del consumidor → INDECOPI

Si tu sistema de IA afecta a los consumidores —por ejemplo, mediante prácticas engañosas, discriminación de precios algorítmica o falta de transparencia—, el INDECOPI puede intervenir.

¿Cuándo aplica?

Tu chatbot se hace pasar por un humano sin informar al usuario.
Tu sistema de recomendación manipula precios de manera oculta.
Tu sistema de scoring crediticio discrimina por género, edad o ubicación sin justificación.
No informas al consumidor que una decisión fue tomada por IA.

¿Qué puede pasar?

Las sanciones de INDECOPI por infracciones al Código de Protección y Defensa del Consumidor incluyen multas que varían según la gravedad. Para prácticas comerciales engañosas o abusivas, las multas pueden ser significativas y acompañadas de medidas correctivas.

Ejemplo real

Una fintech que usa IA para decidir si otorga un crédito y no informa al solicitante que la decisión fue automatizada, ni le permite solicitar una revisión humana, podría enfrentar una denuncia ante INDECOPI.

3. Responsabilidad de funcionarios públicos → Contraloría

Si eres una entidad pública o una empresa del Estado y no cumples con las obligaciones del DS 115-2025-PCM, la Contraloría General de la República puede abrir un procedimiento administrativo.

¿Cuándo aplica?

Tu entidad pública no ha aprobado su plan de acción de IA.
No has designado un OIA (Oficial de Inteligencia Artificial).
Implementaste un sistema de riesgo alto sin evaluación previa.
No has registrado tus sistemas en el Catálogo IA Perú.

¿Qué puede pasar?

Responsabilidad administrativa funcional para los servidores públicos involucrados, que puede incluir sanciones desde amonestación hasta destitución, según la gravedad.

Ejemplo real

Una municipalidad que implementa un sistema de IA para asignar licencias de funcionamiento sin evaluación de impacto ni supervisión humana expone a sus funcionarios a responsabilidad ante la Contraloría.

4. Agravantes penales → Ley 32314

Este es el camino más serio. La Ley Nº 32314, publicada en abril de 2025, modificó el Código Penal peruano para establecer que cuando un delito se comete usando inteligencia artificial, la pena se agrava hasta en un tercio.

¿Qué delitos se agravan?

Deepfakes: Crear videos, audios o imágenes falsas de personas para difamar, extorsionar o suplantar.
Suplantación de identidad automatizada: Usar IA para clonar voz, firma o biometría.
Pornografía infantil generada por IA: Crear imágenes de menores mediante IA (aunque nunca hayan existido).
Plagio masivo: Usar IA para plagiar obras protegidas de manera sistemática.
Delitos informáticos ejecutados con IA: Ataques cibernéticos, ransomware, distribución de malware.

¿Cómo funciona la agravante?

Según la Ley 32314, que modifica el Art. 46 del Código Penal, cuando un delito se comete utilizando IA, el juez puede aumentar la pena hasta en 1/3 por encima del máximo legal.

Ejemplo concreto

| Delito | Pena máxima normal | Pena máxima con IA | Aumento | |--------|-------------------|--------------------|---------| | Difamación por deepfake | 3 años | 4 años | +33% | | Estafa usando IA para suplantar voz | 6 años | 8 años | +33% |

El canal de denuncias ciudadanas

El DS 115-2025-PCM establece en su Art. 27 la creación de un canal digital para alertas y denuncias ciudadanas sobre el uso de la IA. Cualquier persona —incluidos menores de edad mediante sus representantes— puede denunciar el uso indebido de IA o incumplimientos.

La SGTD gestiona estas alertas y, si afectan derechos fundamentales, las deriva a las autoridades competentes. Esto significa que tus propios clientes o usuarios pueden activar el mecanismo de supervisión.

¿Y las sanciones directas por "no usar IA correctamente"?

Aquí hay que ser honestos: no existe hoy en Perú una multa específica por "mal uso de IA" como la que existe en el AI Act europeo (que puede llegar al 7% de la facturación global). El marco peruano es más joven y más disperso.

Pero "no hay multa específica" no significa "no hay consecuencias". Las consecuencias llegan por vías indirectas:

Daño reputacional si se expone un mal uso de IA.
Pérdida de clientes que exigen transparencia.
Exclusión de procesos de contratación pública si no cumples estándares.
Responsabilidad civil si un sistema de IA causa daño a terceros.

¿Qué debería hacer tu empresa?

1. Clasifica tus sistemas de IA según las categorías del DS 115-2025-PCM (prohibido, riesgo alto, riesgo aceptable). 2. Implementa controles según la categoría: evaluación previa para riesgo alto, buenas prácticas para riesgo aceptable. 3. Documenta todo: políticas, protocolos, evaluaciones, decisiones. 4. Informa a tus usuarios cuando interactúan con IA. 5. Designa un responsable de IA en tu organización (no necesariamente con el título formal de OIA del sector público, pero con funciones equivalentes).

Preguntas frecuentes

¿Me pueden multar hoy por no cumplir la regulación de IA? No directamente por "no cumplir la regulación de IA", ya que el DS 115-2025-PCM no crea sanciones propias. Pero sí puedes enfrentar sanciones de ANPDP (datos personales), INDECOPI (consumidores) o Contraloría (sector público) si tus sistemas de IA incumplen normas que ya existen. ¿La Ley 32314 me afecta si mi empresa usa IA legítimamente? La Ley 32314 se aplica cuando se comete un delito usando IA. Si tu empresa usa IA de manera legítima y ética, la ley no te afecta directamente. Pero debes asegurarte de que tus sistemas no sean usados para fines delictivos. ¿Cuándo empezará la SGTD a monitorear activamente? La SGTD tiene plazos establecidos: 90 días hábiles para lineamientos del OIA y 120 días hábiles para implementar el Catálogo IA Perú (desde la publicación del DS 115-2025-PCM en septiembre 2025). El monitoreo se irá implementando gradualmente. ¿Qué pasa si mi empresa es extranjera pero opera en Perú? Si ofreces servicios de IA en territorio peruano, la regulación te aplica. Las sanciones de ANPDP e INDECOPI pueden aplicarse a empresas que operan en Perú sin importar su sede. ¿Quieres asegurarte de que tu empresa no enfrenta riesgos regulatorios? En Futuraria te ayudamos a auditar tus sistemas de IA, implementar controles de cumplimiento y prepararte para la supervisión regulatoria. Contáctanos. Fuentes:

ARTÍCULO NUEVO 3

# ¿Qué es el Catálogo IA Perú y cómo afecta a tu empresa?

Hay una pieza de infraestructura regulatoria en Perú que muchos desconocen pero que va a cambiar cómo se registra y supervisa la inteligencia artificial en el país: el Catálogo Nacional de Conjuntos de Datos y Modelos para Inteligencia Artificial, conocido como Catálogo IA Perú.

No es un directorio aburrido. Es una plataforma digital que el gobierno peruano está construyendo para registrar, conectar y supervisar los ecosistemas de IA del país. Y si tu empresa desarrolla o usa sistemas de IA, necesitas entender qué es, cómo funciona y qué significa para tu negocio.

¿Qué es exactamente el Catálogo IA Perú?

Según el análisis de Garrigues sobre la ENIA 2026-2030 (RM Nº 152-2026-PCM), el Catálogo IA Perú es una plataforma digital de carácter referencial y colaborativo donde las entidades públicas deben publicar la información de los modelos de IA que utilizan, así como conjuntos de datos y sus metadatos utilizados para el diseño de soluciones basadas en IA.

En términos simples: es un registro público donde se documenta qué sistemas de IA existen en el país, qué datos usan y cómo funcionan.

¿De dónde sale?

El Catálogo IA Perú nace de dos fuentes normativas:

1. Ley 31814 (Art. 4): Establece a la SGTD como autoridad responsable de dirigir y supervisar el uso de la IA. 2. DS 115-2025-PCM: Desarrolla las obligaciones de registro y transparencia. 3. ENIA 2026-2030 (RM 152-2026-PCM): Lo incluye como mecanismo central de gobernanza.

¿Cuándo estará operativo?

La SGTD tiene 120 días hábiles desde la publicación del DS 115-2025-PCM (9 de septiembre de 2025) para implementar el Catálogo IA Perú. Esto significa que debería estar operativo aproximadamente en el primer trimestre de 2026.

¿Qué información se registra?

Según el marco normativo, el Catálogo debe incluir:

Modelos de IA: Qué sistemas de IA utiliza la entidad, para qué propósito y con qué nivel de riesgo.
Conjuntos de datos: Qué datos se usan para entrenar o alimentar los sistemas, incluyendo metadatos.
Funcionalidades: Qué hace cada sistema y cómo toma decisiones.
Nivel de riesgo: Clasificación según el DS 115-2025-PCM (prohibido, riesgo alto, riesgo aceptable).

¿Quién debe registrarse?

Aquí es donde muchos se confunden. Según el marco actual:

Sector público: Obligatorio

Todas las entidades de la Administración Pública, empresas públicas de gobiernos regionales y locales, y empresas del ámbito del FONAFE deben registrar sus sistemas de IA en el Catálogo.

Sector privado: Referencial (por ahora)

El Catálogo es de carácter referencial y colaborativo para el sector privado. No es un registro obligatorio para empresas privadas en este momento. Sin embargo, registrarse puede ser ventajoso por varias razones.

¿Por qué tu empresa debería considerar registrarse?

Aunque no sea obligatorio para el sector privado hoy, registrarte en el Catálogo IA Perú tiene ventajas concretas:

1. Posicionamiento como actor formal del ecosistema

Estar en el Catálogo te posiciona como una empresa que opera con transparencia y dentro del marco regulatorio. En un mercado donde los clientes y socios valoran cada vez más la responsabilidad en IA, esto es un diferenciador.

2. Acceso a oportunidades

El Catálogo funcionará como un directorio que conecta proyectos, investigadores y empresas. Si ofreces soluciones de IA, estar registrado te da visibilidad ante entidades públicas que buscan proveedores.

3. Preparación para futuras obligaciones

El marco regulatorio peruano es joven. Hoy el Catálogo es referencial para el sector privado, pero es razonable esperar que, con el tiempo, se amplíen las obligaciones de registro. Las empresas que se registren temprano estarán mejor posicionadas.

4. Documentación de cumplimiento

El registro te obliga a documentar tus sistemas de IA de manera estructurada. Esto es útil no solo para el Catálogo, sino para cualquier auditoría interna o externa.

¿Qué relación tiene con el OIA y los planes de acción?

El Catálogo IA Perú no opera de manera aislada. Se conecta con otros mecanismos de la ENIA:

El OIA (Oficial de Inteligencia Artificial) del sector público es quien coordina el registro de los sistemas de su entidad en el Catálogo.
Los planes de acción de IA que deben aprobar las entidades públicas incluyen el registro de sistemas en el Catálogo como parte de sus obligaciones.
El CNIDIA (Centro Nacional de Innovación Digital e Inteligencia Artificial) facilita el diseño y entrenamiento de sistemas que luego se registran en el Catálogo.

El Catálogo en el contexto regional

Perú no es el único país que explora registros de IA, pero sí es de los primeros en Latinoamérica en crear uno formalmente:

Brasil: Ha propuesto un registro similar pero aún no lo ha implementado.
Chile: No tiene un catálogo formal de IA.
Colombia: Tampoco cuenta con uno.
Unión Europea: El AI Act europeo prevé una base de datos de sistemas de alto riesgo.

Esto posiciona a Perú como pionero regional en gobernanza de IA, un diferenciador que puede atraer inversión y talento.

¿Qué documentos necesitas para registrarte?

Aunque los detalles operativos se publicarán cuando el Catálogo esté implementado, los documentos que probablemente necesites incluyen:

1. Descripción del sistema de IA (qué hace, para qué se usa). 2. Clasificación de riesgo según DS 115-2025-PCM. 3. Descripción de los datos utilizados (fuente, tipo, metadatos). 4. Medidas de seguridad y privacidad implementadas. 5. Mecanismos de supervisión humana (para riesgo alto). 6. Evaluación de impacto (para riesgo alto).

Pasos concretos para prepararte

1. Inventario tus sistemas de IA: Lista todos los sistemas que usa o desarrolla tu empresa. 2. Clasifícalos por riesgo: Usa las categorías del DS 115-2025-PCM (prohibido, riesgo alto, riesgo aceptable). 3. Documenta cada sistema: Descripción, datos usados, decisiones que toma, supervisión humana. 4. Monitorea la implementación del Catálogo: Sigue las publicaciones de la SGTD para saber cuándo puedes registrarte. 5. Regístrate cuando esté disponible: Sé de los primeros en el sector privado.

Preguntas frecuentes

¿Es obligatorio registrarse en el Catálogo IA Perú para mi empresa privada? No en este momento. El Catálogo es de carácter referencial y colaborativo para el sector privado. Sin embargo, las entidades públicas sí tienen obligación de registrar sus sistemas. ¿Qué pasa si no me registro? Para el sector privado, no hay consecuencia directa hoy. Pero el registro puede ser un requisito futuro, y las empresas que se registren temprano tendrán ventaja competitiva. ¿El Catálogo es público? Sí, es una plataforma pública que promueve la transparencia del ecosistema de IA en Perú. ¿Puedo registrar sistemas de IA que uso pero no desarrollé? Sí. Tanto desarrolladores como implementadores pueden registrar sistemas. Si usas una herramienta de IA de un proveedor externo, puedes registrar tu uso de esa herramienta. ¿Cuándo estará disponible? La SGTD tiene 120 días hábiles desde septiembre 2025 para implementarlo. Se espera que esté operativo en el primer trimestre de 2026. ¿Quieres que tu empresa esté preparada para el Catálogo IA Perú? En Futuraria te ayudamos a documentar tus sistemas de IA, clasificarlos por riesgo y preparar tu registro. Escríbenos. Fuentes:

ARTÍCULO NUEVO 4

# IA generativa en Perú: ¿Qué dice la regulación sobre ChatGPT, Midjourney y herramientas similares?

ChatGPT tiene más de 200 millones de usuarios activos. Midjourney genera imágenes que compiten con fotografías profesionales. Copilot escribe código que funciona. Y en Perú, miles de empresas ya usan estas herramientas diariamente —desde startups en Lima hasta agroexportadoras en Arequipa— sin saber exactamente cómo encajan en la nueva regulación de inteligencia artificial.

La pregunta es concreta: ¿La Ley 31814 y el DS 115-2025-PCM regulan el uso de herramientas de IA generativa como ChatGPT? La respuesta es sí, pero no de la manera que muchos piensan.

¿La IA generativa está regulada en Perú?

Sí, pero no hay un capítulo específico para IA generativa en la regulación peruana. La Ley 31814 y su reglamento (DS 115-2025-PCM) regulan sistemas basados en inteligencia artificial de manera general, y la IA generativa cae dentro de ese marco.

Lo que sí hay son principios y obligaciones que se aplican específicamente al uso de herramientas como ChatGPT, Midjourney, DALL-E, Copilot y similares.

Clasificación de riesgo: ¿Dónde cae la IA generativa?

La clasificación depende de cómo uses la herramienta, no de la herramienta en sí.

Riesgo aceptable (la mayoría de usos)

Si usas ChatGPT para:

Redactar emails o documentos internos.
Generar ideas para campañas de marketing.
Traducir textos.
Resumir documentos.
Programar asistido por IA.

Tu uso probablemente cae en riesgo aceptable. Las obligaciones son ligeras: buenas prácticas de transparencia y protección de datos.

Riesgo alto

Si usas IA generativa para:

Tomar decisiones automatizadas que afectan a personas (aprobación de créditos, evaluación de empleados).
Generar contenido que se presenta como información factual sin verificación.
Evaluar o calificar a personas (procesos educativos, laborales).
Diagnosticar condiciones de salud.

Tu uso puede ser de riesgo alto, con todas las obligaciones que eso implica: evaluación previa, supervisión humana, transparencia algorítmica y documentación.

Prohibido

Si usas IA generativa para:

Crear deepfakes con fines de manipulación o fraude.
Generar contenido para vigilancia masiva.
Suplantar identidades de personas.

Estás en territorio prohibido y enfrentas las consecuencias del DS 115-2025-PCM y potencialmente de la Ley 32314.

Las 3 obligaciones clave para el uso de IA generativa

1. Transparencia: Debes informar que usas IA

El DS 115-2025-PCM establece que los sistemas de IA deben operar con transparencia algorítmica. En la práctica, esto significa:

Si usas un chatbot de IA para atender a clientes, debes informarles que están interactuando con IA, no con un humano.
Si generas contenido con IA para publicar (artículos, imágenes, videos), debes considerar indicar que fue generado o asistido por IA.
Si usas IA para tomar decisiones que afectan a personas, debes informarles de forma previa, clara y sencilla.

2. Supervisión humana: La IA no decide sola

Para usos de riesgo alto, debe existir supervisión humana efectiva. Esto significa que un humano debe poder revisar, modificar y rechazar las decisiones o contenido generado por IA.

En la práctica:

Si usas ChatGPT para redactar respuestas a clientes, alguien debe revisarlas antes de enviarlas.
Si usas IA para filtrar CVs, un humano debe tomar la decisión final de contratación.
Si usas IA para generar diagnósticos médicos, un profesional de salud debe validar el resultado.

3. Protección de datos: Cuidado con lo que alimentas la IA

Cuando usas herramientas de IA generativa, estás enviando datos a servidores externos. Esto tiene implicaciones directas:

No envíes datos personales de clientes a herramientas de IA sin base legal para hacerlo.
No uses información confidencial de tu empresa en prompts de IA pública.
Revisa las políticas de privacidad de las herramientas que usas: ¿usan tus prompts para entrenar sus modelos?

La Ley 29733 de Protección de Datos Personales se aplica independientemente de si usas IA o no. Si envías datos personales a un servicio de IA sin consentimiento informado, estás infringiendo la normativa.

Derechos de autor y contenido generado por IA

Este es uno de los temas más complejos y menos cubiertos en la regulación peruana actual. La Ley 31814 no resuelve explícitamente la pregunta de quién es el autor del contenido generado por IA.

Lo que sí establece el DS 115-2025-PCM es el principio de respeto del derecho de autor y derechos conexos. En la práctica:

Si usas IA para generar texto y lo publicas como tuyo sin decir que fue generado por IA, hay un debate ético y potencialmente legal sobre la atribución.
Si usas IA para generar imágenes y las usas comercialmente, debes verificar los términos de servicio de la herramienta y las leyes de derechos de autor aplicables.
Si la IA genera contenido que infringe derechos de autor de terceros, la responsabilidad recae en ti como usuario, no en el proveedor de la herramienta.

El caso de los abogados y profesionales que usan IA

Un caso que ilustra los riesgos del uso irresponsable de IA generativa: en 2023, abogados en Estados Unidos fueron multados con USD 5,000 por presentar en un tribunal sentencias falsas generadas por ChatGPT. Los abogados no verificaron la información.

En Perú, aunque no hay un caso judicial similar aún, el principio es claro: el profesional que usa IA es responsable de verificar el resultado. No puedes culpar a ChatGPT si presentas información falsa ante un cliente, un tribunal o una autoridad.

¿Qué empresas ya usan IA generativa en Perú?

Sin datos oficiales precisos, el uso de IA generativa en Perú está creciendo exponencialmente:

Fintechs: Scoring crediticio, atención al cliente automatizada, análisis de riesgo.
Agencias de marketing: Generación de contenido, diseño, campañas automatizadas.
Sector legal: Análisis de documentos, investigación jurisprudencial.
Educación: Tutorías personalizadas, evaluación automatizada.
Salud: Asistencia en diagnósticos, gestión de historias clínicas.
E-commerce: Recomendaciones personalizadas, descripciones de productos.

Todas estas empresas deben cumplir con los principios del DS 115-2025-PCM según el nivel de riesgo de su uso.

Checklist: ¿Tu uso de IA generativa cumple la regulación?

✅ ¿Informas a tus usuarios/clientes cuando interactúan con IA? ✅ ¿Tienes supervisión humana sobre las decisiones automatizadas de riesgo alto? ✅ ¿No envías datos personales a herramientas de IA sin base legal? ✅ ¿Verificas el contenido generado por IA antes de publicarlo? ✅ ¿Has clasificado tus usos de IA por nivel de riesgo? ✅ ¿Documentas qué herramientas de IA usas y para qué? ✅ ¿Respetas los derechos de autor en el contenido generado?

Si respondiste "no" a alguna de estas preguntas, tienes trabajo por hacer.

Preguntas frecuentes

¿Puedo seguir usando ChatGPT en mi negocio? Sí. La regulación peruana no prohíbe el uso de herramientas de IA generativa. Lo que regula es cómo las usas, especialmente si procesas datos personales o tomas decisiones que afectan a personas. ¿Debo decirle a mis clientes que uso IA? Depende del contexto. Si tu cliente interactúa directamente con IA (chatbot, asistente virtual), sí debes informarle. Si usas IA internamente para redactar un email, no es necesario que lo digas, aunque es buena práctica. ¿ChatGPT usa mis datos para entrenar sus modelos? Depende de tu plan y configuración. Los usuarios de ChatGPT Free y Plus (por defecto) pueden tener sus datos usados para entrenamiento. Los usuarios de ChatGPT Enterprise tienen más control. Revisa la configuración de privacidad de tu herramienta. ¿Quién es responsable si la IA genera contenido incorrecto? Tú. El usuario o empresa que usa la herramienta de IA es responsable del contenido que publica o de las decisiones que toma basándose en la IA. No puedes transferir la responsabilidad al proveedor de la herramienta. ¿La regulación peruana es diferente para IA generativa que para otros tipos de IA? No. La Ley 31814 y el DS 115-2025-PCM regulan sistemas de IA de manera general. La clasificación por riesgo depende del uso, no de la tecnología específica. ¿Tu empresa usa IA generativa y no sabes si cumple la regulación? En Futuraria te ayudamos a auditar tus herramientas de IA, implementar controles de transparencia y asegurar el cumplimiento normativo. Hablemos. Fuentes:

ARTÍCULO NUEVO 5

# Perú vs. Chile vs. Colombia vs. Brasil: ¿Quién regula mejor la IA en Latinoamérica?

Perú aprobó su ley integral de inteligencia artificial en 2023 y la reglamentó en septiembre de 2025. Brasil lleva años debatiendo su marco legal. Chile tuvo una política nacional 2021-2025 sin fuerza de ley. Colombia fragmenta su regulación por sectores. ¿Quién va ganando en la carrera regulatoria de IA en Latinoamérica?

La respuesta es más compleja de lo que parece, y tiene implicaciones directas para tu empresa si operas en más de un país de la región o si compites con empresas de otros mercados.

El mapa actual: Estado de la regulación de IA por país

Perú: Ley reglamentada, el más avanzado

Estado: Ley aprobada y reglamentada. Marco legal: Ley Nº 31814 (2023) + DS 115-2025-PCM (septiembre 2025). Estrategia: ENIA 2026-2030 (RM 152-2026-PCM, mayo 2026).

Perú es, según múltiples análisis incluyendo el de laley.pe, el primer país de América Latina con una ley integral de IA aprobada y reglamentada. Esto no significa que sea la mejor regulación, pero sí que tiene la ventaja de ser la primera en moverse.

Elementos clave:

Clasificación de riesgo en tres niveles (prohibido, alto, aceptable).
Figura del OIA para entidades públicas.
Catálogo IA Perú (registro de sistemas).
CNIDIA como centro de innovación.
Canal de denuncias ciudadanas.
Referencia a NTP-ISO/IEC 42001:2025.
Ley 32314: agravantes penales por delitos con IA.

Debilidad: No tiene régimen sancionador propio; deriva a entidades existentes.

Brasil: El más ambicioso, pero aún en tránsito

Estado: Proyecto de ley en proceso legislativo. Marco legal: PL 2338/2023 (en debate).

Brasil tiene el proyecto de ley de IA más ambicioso de la región, inspirado directamente en el AI Act europeo. Sin embargo, aún no ha sido aprobado. El PL 2338/2023 ha sido objeto de intenso debate en el Congreso brasileño y su aprobación se ha retrasado múltiples veces.

Elementos clave del PL 2338:

Enfoque basado en riesgos (similar al AI Act europeo).
Clasificación detallada de sistemas de alto riesgo.
Derechos de las personas afectadas por IA.
Mecanismos de gobernanza y supervisión.
Régimen sancionador con multas propias.

Fortaleza: Si se aprueba, será la regulación más detallada y con mayor capacidad sancionadora de la región. Debilidad: Lleva años en proceso legislativo sin fecha clara de aprobación. Mientras tanto, opera sin marco integral.

Chile: Política sin fuerza de ley

Estado: Política nacional implementada (2021-2025), sin ley integral. Marco legal: Política Nacional de Inteligencia Artificial 2021-2025.

Chile fue pionero en la región al lanzar su política de IA en 2021, con un fuerte componente ético y de derechos humanos. Sin embargo, es una política, no una ley. No tiene fuerza vinculante ni régimen sancionador.

Elementos clave:

Principios éticos de IA (transparencia, no discriminación, responsabilidad).
Promoción de investigación y desarrollo.
Participación ciudadana.
Referencia a estándares internacionales.

Fortaleza: Enfoque ético robusto, participación ciudadana activa. Debilidad: Sin fuerza legal, sin sanciones, sin obligaciones concretas para empresas.

Colombia: Fragmentado y en desarrollo

Estado: Regulación sectorial fragmentada, sin ley integral. Marco legal: Lineamientos sectoriales (financiero, salud, telecomunicaciones).

Colombia ha optado por un enfoque descentralizado, con regulaciones específicas por sector en lugar de un marco unificado. La Agencia Nacional Digital impulsa iniciativas de gobierno digital, pero la regulación de IA para el sector privado es incipiente.

Fortaleza: Flexibilidad sectorial. Debilidad: Sin marco integral, falta de coherencia entre sectores, incertidumbre para empresas multi-sectoriales.

Argentina: Mínima regulación

Estado: Sin marco integral de IA. Enfoque: Libre mercado, mínima intervención.

Argentina ha mantenido un enfoque de mínima regulación en IA, priorizando la innovación del sector privado. No tiene una ley de IA ni una estrategia nacional formalizada.

Fortaleza: Bajo costo regulatorio para empresas. Debilidad: Incertidumbre legal, dificultad para cooperación internacional en estándares.

Tabla comparativa

| Criterio | Perú | Brasil | Chile | Colombia | Argentina | |----------|------|--------|-------|----------|-----------| | Ley integral aprobada | ✅ Sí | ❌ En proceso | ❌ No | ❌ No | ❌ No | | Reglamentada | ✅ Sí | ❌ No | ❌ No | ❌ No | ❌ No | | Clasificación de riesgo | ✅ 3 niveles | ✅ Propuesto | ❌ No | ❌ No | ❌ No | | Régimen sancionador propio | ❌ Deriva | ✅ Propuesto | ❌ No | ❌ No | ❌ No | | Figura tipo OIA | ✅ Sector público | ❌ No | ❌ No | ❌ No | ❌ No | | Catálogo/registro de IA | ✅ Catálogo IA Perú | ❌ Propuesto | ❌ No | ❌ No | ❌ No | | Sandboxes regulatorios | ✅ Sí | ❌ En discusión | ❌ No | ❌ No | ❌ No | | Agravantes penales por IA | ✅ Ley 32314 | ❌ No | ❌ No | ❌ No | ❌ No | | Referencia ISO 42001 | ✅ NTP-ISO | ❌ En discusión | ❌ No | ❌ No | ❌ No | | Participación ciudadana | ✅ Eje estratégico | ✅ Propuesto | ✅ Sí | ❌ No | ❌ No |

¿Quién va ganando?

La respuesta depende de qué métrica uses:

Si mides por avance legislativo: Perú gana

Perú es el único país de la región con ley integral de IA aprobada, reglamentada y en implementación. Esto le da una ventaja de 2-3 años sobre Brasil (que aún debate su ley) y de 5+ años sobre Chile, Colombia y Argentina.

Si mides por ambición regulatoria: Brasil ganaría (si aprueba)

El PL 2338 brasileño es más detallado y más ambicioso que la regulación peruana. Incluye un régimen sancionador propio con multas significativas y derechos más explícitos para las personas afectadas por IA. Pero está en el limbo legislativo.

Si mides por enfoque ético: Chile tiene ventaja

La política chilena tiene el componente ético más desarrollado de la región, con énfasis en derechos humanos, transparencia y participación ciudadana. Pero al no tener fuerza de ley, su impacto práctico es limitado.

Si mides por pragmatismo: Perú es el más práctico

La regulación peruana es pragmática: no prohíbe la IA, regula por nivel de riesgo, crea mecanismos concretos (OIA, Catálogo, CNIDIA) y establece plazos graduales. Es menos ambiciosa que el AI Act europeo pero más realista para una economía en desarrollo.

¿Qué significa esto para tu empresa?

Si operas solo en Perú

Estás en el país con el marco regulatorio más claro de la región. Aprovecha la ventaja: clasifica tus sistemas, documenta tus procesos y posícómate como empresa responsable en IA.

Si operas en múltiples países de Latinoamérica

Enfrentas un desafío de cumplimiento fragmentado. La regulación peruana es la más avanzada, pero cada país tiene sus propias reglas (o las está desarrollando). Necesitas:

Un marco de cumplimiento que sea adaptable por país.
Monitoreo constante de desarrollos regulatorios en cada mercado.
Asesoría legal especializada en cada jurisdicción.

Si compites con empresas de otros países

Las empresas peruanas que se preparen para la regulación tendrán una ventaja competitiva regional: ya están operando bajo un marco claro cuando sus competidores aún navegan la incertidumbre.

¿Perú puede ser un hub de IA en Latinoamérica?

Es posible, pero requiere ejecución. Los elementos están ahí:

Marco legal claro y operativo.
Sandboxes regulatorios para innovación.
CNIDIA como espacio de experimentación.
Catálogo IA Perú como infraestructura de gobernanza.
Referencia a estándares internacionales (ISO 42001).

Pero la ejecución es donde la mayoría de los países latinoamericanos fallan. Si Perú publica los reglamentos a tiempo, implementa los sandboxes con agilidad y forma el talento necesario, podría posicionarse como el laboratorio de IA de la región.

Preguntas frecuentes

¿Perú está realmente más adelantado que Brasil en regulación de IA? En términos de ley aprobada y reglamentada, sí. Brasil tiene un proyecto más ambicioso pero aún no lo ha aprobado. Perú ya tiene ley + reglamento + estrategia en implementación. ¿La regulación peruana es compatible con la europea (AI Act)? Son compatibles en espíritu (ambas usan enfoque basado en riesgos) pero diferentes en detalle. El AI Act es más detallado y tiene un régimen sancionador más fuerte. La regulación peruana es más ligera y pragmática. ¿Mi empresa en Chile o Colombia debe seguir la regulación peruana? No directamente. Cada país tiene su propia regulación. Pero si vendes productos o servicios a Perú, debes cumplir con la regulación peruana para ese mercado. ¿Cuál es el mejor país de la región para operar una startup de IA? Perú ofrece el marco más claro; Chile ofrece el enfoque ético más desarrollado; Brasil ofrecerá el mercado más grande cuando apruebe su ley; Argentina ofrece la menor carga regulatoria. Depende de tu prioridad. ¿Tu empresa opera en múltiples países de Latinoamérica y necesita cumplir con diferentes regulaciones de IA? En Futuraria te ayudamos a navegar el panorama regulatorio regional y preparar tu empresa para el cumplimiento multi-país. Conversemos. Fuentes:

Todos los artículos fueron escritos por el equipo de Futuraria, agencia especializada en inteligencia artificial y automatizaciones para empresas en Latinoamérica.

⚠️ Aviso: Este artículo tiene fines informativos y no constituye asesoría legal. Para decisiones de compliance, consulta con un abogado especializado en regulación de IA.

¿Tu empresa necesita prepararse para la ENIA?

Habla con Futuraria →