Sanciones por incumplimiento de la regulación de IA en Perú: Qué puede pasar si no cumples
Uno de los errores más comunes sobre la regulación de inteligencia artificial en Perú es pensar que "no pasa nada" si no cumples. Es una idea comprensible: la ley es nueva, la reglamentación acaba de entrar en vigor y muchos ni siquiera saben que existe. Pero las sanciones por incumplimiento de la regulación de IA en Perú son reales —INDECOPI, ANPDP y la Contraloría pueden actuar— y afectan a empresas de todos los tamaños.
Pero la realidad es diferente. Las consecuencias del incumplimiento existen, están dispersas en múltiples normas y pueden afectar a tu empresa de maneras que no esperas. No hay una "multa de IA" única, pero hay al menos cuatro caminos regulatorios que pueden llegar a tu negocio.
Este artículo desglosa, sin alarmismo pero con precisión, qué puede pasar si tu empresa ignora la regulación de IA en Perú.
El marco: No hay régimen sancionador único
Lo primero que necesitas entender es que el DS 115-2025-PCM no crea un régimen sancionador propio. Esto es importante porque muchos artículos en internet sugieren que existe una autoridad que multa directamente por incumplimientos de IA. No es así.
Lo que sí existe es un sistema de derivación: la SGTD (Secretaría de Gobierno y Transformación Digital), como Autoridad Nacional, detecta incumplimientos y los deriva a las entidades competentes según el tipo de infracción.
Las 4 vías de consecuencias
1. Protección de datos personales → ANPDP
Si tu sistema de IA procesa datos personales sin cumplir las obligaciones de privacidad y transparencia, la Autoridad Nacional de Protección de Datos Personales (ANPDP) puede actuar.
¿Cuándo aplica?
- Tu sistema de IA recopila datos personales sin consentimiento informado.
- No has comunicado a los usuarios que interactúan con un sistema automatizado.
- Usas datos personales para entrenar modelos sin base legal.
- No cumples con los derechos ARCO (acceso, rectificación, cancelación, oposición).
¿Qué puede pasar?
Las sanciones de la ANPDP están reguladas por la Ley 29733 (Ley de Protección de Datos Personales) y su reglamento. Las infracciones se clasifican en leves, graves y muy graves, con multas que pueden alcanzar hasta 50 UIT (S/ 257,500 en 2026) para personas jurídicas en casos de infracciones muy graves.Ejemplo real
Una empresa que usa IA para analizar el comportamiento de compra de sus clientes y comparte esos datos con terceros sin consentimiento informado estaría cometiendo una infracción grave ante la ANPDP.2. Derechos del consumidor → INDECOPI
Si tu sistema de IA afecta a los consumidores —por ejemplo, mediante prácticas engañosas, discriminación de precios algorítmica o falta de transparencia—, el INDECOPI puede intervenir.
¿Cuándo aplica?
- Tu chatbot se hace pasar por un humano sin informar al usuario.
- Tu sistema de recomendación manipula precios de manera oculta.
- Tu sistema de scoring crediticio discrimina por género, edad o ubicación sin justificación.
- No informas al consumidor que una decisión fue tomada por IA.
¿Qué puede pasar?
Las sanciones de INDECOPI por infracciones al Código de Protección y Defensa del Consumidor incluyen multas que varían según la gravedad. Para prácticas comerciales engañosas o abusivas, las multas pueden ser significativas y acompañadas de medidas correctivas.Ejemplo real
Una fintech que usa IA para decidir si otorga un crédito y no informa al solicitante que la decisión fue automatizada, ni le permite solicitar una revisión humana, podría enfrentar una denuncia ante INDECOPI.3. Responsabilidad de funcionarios públicos → Contraloría
Si eres una entidad pública o una empresa del Estado y no cumples con las obligaciones del DS 115-2025-PCM, la Contraloría General de la República puede abrir un procedimiento administrativo.
¿Cuándo aplica?
- Tu entidad pública no ha aprobado su plan de acción de IA.
- No has designado un OIA (Oficial de Inteligencia Artificial).
- Implementaste un sistema de riesgo alto sin evaluación previa.
- No has registrado tus sistemas en el Catálogo IA Perú.
¿Qué puede pasar?
Responsabilidad administrativa funcional para los servidores públicos involucrados, que puede incluir sanciones desde amonestación hasta destitución, según la gravedad.Ejemplo real
Una municipalidad que implementa un sistema de IA para asignar licencias de funcionamiento sin evaluación de impacto ni supervisión humana expone a sus funcionarios a responsabilidad ante la Contraloría.4. Agravantes penales → Ley 32314
Este es el camino más serio. La Ley Nº 32314, publicada en abril de 2025, modificó el Código Penal peruano para establecer que cuando un delito se comete usando inteligencia artificial, la pena se agrava hasta en un tercio.
¿Qué delitos se agravan?
- Deepfakes: Crear videos, audios o imágenes falsas de personas para difamar, extorsionar o suplantar.
- Suplantación de identidad automatizada: Usar IA para clonar voz, firma o biometría.
- Pornografía infantil generada por IA: Crear imágenes de menores mediante IA (aunque nunca hayan existido).
- Plagio masivo: Usar IA para plagiar obras protegidas de manera sistemática.
- Delitos informáticos ejecutados con IA: Ataques cibernéticos, ransomware, distribución de malware.
¿Cómo funciona la agravante?
Según la Ley 32314, que modifica el Art. 46 del Código Penal, cuando un delito se comete utilizando IA, el juez puede aumentar la pena hasta en 1/3 por encima del máximo legal.Ejemplo concreto
| Delito | Pena máxima normal | Pena máxima con IA | Aumento | |--------|-------------------|--------------------|---------| | Difamación por deepfake | 3 años | 4 años | +33% | | Estafa usando IA para suplantar voz | 6 años | 8 años | +33% |El canal de denuncias ciudadanas
El DS 115-2025-PCM establece en su Art. 27 la creación de un canal digital para alertas y denuncias ciudadanas sobre el uso de la IA. Cualquier persona —incluidos menores de edad mediante sus representantes— puede denunciar el uso indebido de IA o incumplimientos.
La SGTD gestiona estas alertas y, si afectan derechos fundamentales, las deriva a las autoridades competentes. Esto significa que tus propios clientes o usuarios pueden activar el mecanismo de supervisión.
¿Y las sanciones directas por "no usar IA correctamente"?
Aquí hay que ser honestos: no existe hoy en Perú una multa específica por "mal uso de IA" como la que existe en el AI Act europeo (que puede llegar al 7% de la facturación global). El marco peruano es más joven y más disperso.
Pero "no hay multa específica" no significa "no hay consecuencias". Las consecuencias llegan por vías indirectas:
- Daño reputacional si se expone un mal uso de IA.
- Pérdida de clientes que exigen transparencia.
- Exclusión de procesos de contratación pública si no cumples estándares.
- Responsabilidad civil si un sistema de IA causa daño a terceros.
¿Qué debería hacer tu empresa?
1. Clasifica tus sistemas de IA según las categorías del DS 115-2025-PCM (prohibido, riesgo alto, riesgo aceptable). 2. Implementa controles según la categoría: evaluación previa para riesgo alto, buenas prácticas para riesgo aceptable. 3. Documenta todo: políticas, protocolos, evaluaciones, decisiones. 4. Informa a tus usuarios cuando interactúan con IA. 5. Designa un responsable de IA en tu organización (no necesariamente con el título formal de OIA del sector público, pero con funciones equivalentes).
Preguntas frecuentes
¿Me pueden multar hoy por no cumplir la regulación de IA? No directamente por "no cumplir la regulación de IA", ya que el DS 115-2025-PCM no crea sanciones propias. Pero sí puedes enfrentar sanciones de ANPDP (datos personales), INDECOPI (consumidores) o Contraloría (sector público) si tus sistemas de IA incumplen normas que ya existen. ¿La Ley 32314 me afecta si mi empresa usa IA legítimamente? La Ley 32314 se aplica cuando se comete un delito usando IA. Si tu empresa usa IA de manera legítima y ética, la ley no te afecta directamente. Pero debes asegurarte de que tus sistemas no sean usados para fines delictivos. ¿Cuándo empezará la SGTD a monitorear activamente? La SGTD tiene plazos establecidos: 90 días hábiles para lineamientos del OIA y 120 días hábiles para implementar el Catálogo IA Perú (desde la publicación del DS 115-2025-PCM en septiembre 2025). El monitoreo se irá implementando gradualmente. ¿Qué pasa si mi empresa es extranjera pero opera en Perú? Si ofreces servicios de IA en territorio peruano, la regulación te aplica. Las sanciones de ANPDP e INDECOPI pueden aplicarse a empresas que operan en Perú sin importar su sede. ¿Quieres asegurarte de que tu empresa no enfrenta riesgos regulatorios? En Futuraria te ayudamos a auditar tus sistemas de IA, implementar controles de cumplimiento y prepararte para la supervisión regulatoria. Contáctanos. Fuentes:- Decreto Supremo Nº 115-2025-PCM
- Ley Nº 31814
- Ley Nº 32314 — Agravantes penales por uso de IA
- Análisis de Garrigues sobre el DS 115-2025-PCM
ARTÍCULO NUEVO 3
⚠️ Aviso: Este artículo tiene fines informativos y no constituye asesoría legal. Para decisiones de compliance, consulta con un abogado especializado en regulación de IA.
¿Tu empresa necesita prepararse para la ENIA?
Habla con Futuraria →