Compartir en:

La inteligencia artificial (IA) dejó de ser un tema solo tecnológico para convertirse en materia de regulación jurídica con efectos directos en la política criminal y en la gobernanza corporativa. Con el Decreto Supremo N.° 115-2025-PCM, Reglamento de la Ley N.° 31814, el ordenamiento peruano establece un marco integral que promueve la innovación, pero fija límites claros orientados a proteger derechos fundamentales, prevenir delitos informáticos y definir responsabilidades para quienes desarrollan, implementan o usan sistemas de IA. La premisa es sencilla y exigente a la vez: la persona está en el centro; por ello, seguridad, transparencia y supervisión humana son condiciones mínimas de licitud para desplegar estas tecnologías.

En este apartado se aborda dos ejes con mayor impacto práctico. Primero, las medidas de prevención destinadas a reducir la probabilidad de comisión de ilícitos con IA y a preservar bienes jurídicos tutelados. Segundo, el sistema de supervisión y denuncia, que articula el rol de la Secretaría de Gobierno y Transformación Digital (SGTD) con la persecución penal y habilita la participación ciudadana como fuente de noticia criminal. A partir de estos pilares se explican efectos en la tipicidad y en la prueba digital, así como las exigencias de gobernanza corporativa que impone el nuevo estándar.

I. Prevención de delitos informáticos y protección de derechos fundamentales

1.1 Principio rector: la persona como límite y medida

El reglamento admite el uso de IA únicamente cuando el sistema se piensa y opera desde el inicio bajo criterios de seguridad, ética y transparencia, colocando a la persona y a sus derechos como parámetro de licitud. Esto tiene efectos inmediatos en el diseño: definir con precisión la finalidad del sistema, justificar la base legal para tratar datos personales, limitar la información a lo estrictamente necesario, controlar accesos y dejar evidencia de revisiones y auditorías periódicas. Se muestra que los incidentes más serios no suelen provenir de un “mal uso” aislado, sino de sistemas opacos, datos mal proporcionados o decisiones automatizadas sin revisión humana, con impactos sobre la intimidad, la igualdad, la dignidad o la seguridad. De allí que el artículo 2 desplace la importancia desde la reacción ex post hacia la prevención por diseño: si el perjuicio era previsible, por sesgos no mitigados, fallas no probadas o decisiones sensibles sin previo control humano, se llega a configurar un incumplimiento del estándar de cuidado exigido por la norma.

1.2 Campañas de sensibilización

En el artículo 14 del presente reglamento se institucionaliza campañas de sensibilización y educación digital para reducir causas que habilitan conductas ilícitas: la falta de información, los malos hábitos de seguridad y la tolerancia a prácticas riesgosas. El énfasis recae en fraude informático, interceptación ilegal de datos, afectación de la intimidad y violencia de género, ámbitos que la IA

puede amplificar por su capacidad de automatización y alcance. Una campaña eficaz no se basa en piezas informativas; requiere materiales claros, capacitación periódica y protocolos simples para identificar engaños y reportarlos. En las organizaciones, un calendario anual de formación, guías para reconocer deepfakes y un canal interno para alertas elevan el estándar de diligencia: se detectan antes los intentos de fraude, se contienen a tiempo las intrusiones digitales y se reducen los daños.

1.3 Uso indebido

El reglamento parte de una premisa realista: la IA no es neutral. Delimita usos con alto potencial de daño y los encuadra como “uso indebido”. Entre ellos destacan los ataques coordinados que dejan fuera de servicio plataformas, el perfilado indebido a partir de grandes bases de datos, la creación de imágenes, audios o videos falsos para extorsión, difamación o violencia sexual, y la vigilancia sin base legal o desproporcionada. El mismo artículo 23 prohíbe, además, la identificación biométrica en tiempo real destinada a categorizar masivamente personas en espacios públicos y la predicción de que alguien cometerá un delito por su perfil. En este marco ya no basta con que el sistema “funcione” sino debe poder explicarse y controlarse. Importa el origen y la calidad de los datos, las pruebas de sesgo y robustez realizadas, la versión activa al momento de los hechos, los registros de ejecución y la gestión de cambios. Un sistema vulnerable que facilita daños previsibles, o puesto a disposición de terceros sin salvaguardas, revela una gestión deficiente del riesgo frente al estándar regulatorio.

1.4 Transparencia y explicabilidad

Siempre que la IA interviene en la detección, priorización o análisis de indicios, los principios de transparencia algorítmica y protección de datos (arts. 25–26) se convierten en condiciones de admisibilidad y valoración de la evidencia. Resulta imprescindible reconstruir qué datos ingresaron, cómo fueron transformados, qué reglas o umbrales condujeron al resultado, cuáles son los márgenes de error y sesgo, y qué grado de supervisión humana se ejerció. Sin ese mínimo de explicabilidad, se conlleva a contradicción y se debilita el control judicial. Por el contrario, sistemas auditables y trazables habilitan pericias reproducibles y análisis de errores, fortaleciendo la fiabilidad de la prueba digital y legitimando decisiones fundadas en ciencia comprensible, no en automatismos inescrutables.

1.5 Retos para las personas jurídicas en el mercado

El reglamento no solo fija obligaciones para las autoridades públicas, sino que introduce nuevas exigencias que impactan en las personas jurídicas. Las empresas que utilicen IA en sus procesos para reclutamiento de personal, segmentación de clientes, análisis de datos o toma de decisiones automatizadas, deberán demostrar que cumplen con estándares de seguridad, transparencia y supervisión humana. Esto supone que las personas jurídicas ya no pueden operar en la opacidad: cada sistema deberá documentarse desde su diseño hasta su implementación, registrando finalidad, bases legales de uso de datos, medidas de minimización y mecanismos de control.

El reto inmediato para el mercado es adaptar prácticas corporativas a un entorno de mayor escrutinio. Esto significa enfrentar costos adicionales en auditorías, revisiones periódicas, contratación de especialistas en ética digital o prevención de datos y fortalecimiento de canales internos de denuncia. La exposición también se multiplica: cualquier trabajador, cliente o proveedor puede denunciar un uso indebido de IA a través de canales de denuncia IAPERU, lo que implementa la presión sobre la reputación de la organización. De aquí en adelante, la competitividad de las empresas dependerá en buena parte de su capacidad de demostrar cumplimiento normativo y de generar confianza en el uso responsable de estas estrategias.

II. Supervisión y canales de denuncia

2.1 La Secretaría de Gobierno y Transformación Digital (arts. 34–35)

La SGTD ejerce supervisión técnica y normativa y tiene el deber de comunicar a las autoridades cuando advierta indicios de afectación de derechos o incumplimientos con posible consecuencia sancionadora o penal. En la práctica, su rol es importante: sus hallazgos apoyan a la actuación del Ministerio Público, de la División de Investigación de Ciberdelincuencia de la PNP y de la Autoridad de Protección de Datos, evitando que casos complejos queden encapsulados en expedientes administrativos y permitiendo su derivación oportuna. Además, puede requerir información, emitir alertas y coordinar con equipos de respuesta a incidentes, lo que mejora la reacción temprana en investigaciones con alcance nacional o transfronterizo. Para las organizaciones, ello implica preparación permanente; políticas y manuales específicos sobre uso responsable, supervisión humana, gestión de sesgos, seguridad y privacidad; matrices de riesgo con evidencias de controles; trazabilidad de datos y modelos; y un punto de contacto interno con plazos y rutas de escalamiento definidas, con ello agiliza respuestas y reduce brechas.

2.2 IAperu

El artículo 36 del presente reglamento crea un canal digital único (www.gob.pe/iaperu) para que cualquier persona alerte sobre uso indebido de IA. Para que ese canal funcione, las autoridades deben contar con protocolos que distingan lo administrativo de lo que exige otras actuaciones y, cuando corresponda, actuar con enfoque de preservar evidencias, resguardar registros, congelar contenidos susceptibles de alteración y documentar con detalle cómo se obtuvo la información. La confidencialidad del denunciante y la prevención del “efecto aviso” resultan esenciales para no frustrar diligencias prioritarias. En cuanto las organizaciones necesitan un canal interno de denuncias confidencial y sin represalias, y un protocolo de respuesta que establezca responsables, pasos y plazos, incluyendo recepción y registro de la alerta, clasificación por riesgo, preservación de evidencias, correcciones y criterios de escalamiento a la autoridad. Protocolos claros significan mejor capacidad de reacción y menor probabilidad de escalamiento externo innecesario.

2.3 Biometría en tiempo real

La identificación biométrica en tiempo real para categorizar masivamente personas en espacios públicos está prohibida por su impacto en la privacidad y la libertad. La única excepción es su uso limitado en investigaciones preliminares de delitos graves, siempre que exista base legal, supervisión humana efectiva, objetividad, transparencia y posibilidad de auditoría. Cada ejecución válida debe dejar constancia técnica verificable de la configuración del sistema, de sus tasas de error, de la base de comparación empleada, de los umbrales aplicados y del responsable humano que autorizó y supervisó, además de fijar límites de tiempo, lugar y finalidad y reglas de eliminación de datos cuando ya no sean necesarios. Si esas garantías faltan, la información es poco fiable y arriesga su invalidez. El mensaje es claro: eficacia investigativa sí, pero con garantías.

2.4 Nuevas actividades para los compliance officers

El reglamento también redefine el papel de los compliance officers, quienes deberán asumir un rol mucho más activo frente a los riesgos de la IA. Entre sus nuevas tareas está la actualización de matrices de riesgo para incluir escenarios vinculados a sesgos algorítmicos, uso indebido de datos sensibles, toma de decisiones sin supervisión humana o vigilancia desproporcionada. No se trata de riesgos hipotéticos: el propio art. 23 prohíbe expresamente ciertas prácticas (biometría en tiempo real para categorización masiva o predicción de delitos) y exige a las empresas evitar incluso la aproximación a esos supuestos.

Además, se deberán diseñar protocolos de supervisión humana en procesos críticos donde la IA apoye la toma de decisiones (por ejemplo, evaluación de clientes para acceso a crédito, filtros en procesos de selección de personal o control interno de operaciones sensibles). También será parte de su función impulsar programas de capacitación que fortalezcan la cultura de ética digital dentro de la empresa, preparando a directivos y colaboradores para detectar riesgos, reconocer contenidos manipulados como deepfakes o identificar malas prácticas en el manejo de datos.

Otro eje fundamental será la operación de canales internos de denuncia. Estos deben ser confidenciales, confiables y sin represalias, de manera que los problemas puedan resolverse dentro de la organización antes de que escalen a la SGTD o al Ministerio Público. Aquí, el compliance officer se convierte en el primer filtro para detectar y corregir desviaciones. Por tal motivo, su labor también pasa por coordinar estrechamente con las áreas técnicas y legales, documentar el ciclo de vida de cada sistema de IA y responder de manera eficaz a los requerimientos de la autoridad supervisora.

2.5 Impacto práctico

El esquema incrementa la exposición externa de las organizaciones —cualquier tercero puede denunciar— y, a la vez, exige mayor orden interno. En la práctica, esto supone una cultura de alertas con un canal interno confiable y sin represalias, protocolos de respuesta que preserven evidencia (registro de versiones, de decisiones automatizadas y de accesos) con responsables y plazos definidos, y reglas firmes de protección de datos durante todo el ciclo de vida de la IA. También demanda la designación de un responsable de IA que

coordine con las áreas Legal, Seguridad y TI, mantenga actualizado el inventario de sistemas con su base legal y riesgos, y asegure contratos con proveedores que contemplen transparencia, auditoría y soporte ante requerimientos. Para las instituciones que investigan y juzgan, la prioridad es disponer de guías claras para asegurar evidencia algorítmica y de equipos periciales capaces de auditarla. En ambos frentes, la explicabilidad deja de ser un extra: es la condición para mostrar cumplimiento, sostener la prueba y decidir con confianza en un entorno tecnológico que evoluciona rápido.

Cierre:

En conclusión, el reglamento de la Ley N.° 31814 establece un nuevo equilibrio entre innovación y tutela de derechos: mueve el foco hacia la prevención con garantías, fija límites materiales a prácticas intrusivas y condiciona la validez de la evidencia asistida por IA a estándares verificables de transparencia y auditabilidad. Al mismo tiempo, integra a las organizaciones públicas y privadas en un ecosistema donde la supervisión estatal y los canales de denuncia aceleran la detección de conductas con posible relevancia penal.

En este escenario, las personas jurídicas enfrentan el reto de documentar y auditar sus sistemas de IA como parte de su estrategia competitiva, mientras que los compliance officers deben asumir un rol protagónico en la gestión del riesgo tecnológico, convirtiéndose en piezas centrales para prevenir, corregir y responder en tiempo real.

Por último, en el foro penal, la tarea inmediata es reforzar capacidades técnicas y protocolos de aseguramiento de evidencia algorítmica, aplicando criterios de proporcionalidad. En definitiva, la IA puede y debe contribuir al desarrollo, pero solo dentro de un marco de legalidad, transparencia y control. Quien incorpore estas exigencias en su diseño organizacional reducirá de forma sustantiva su exposición a riesgos penales y reputacionales. Ese es, hoy en día, el estándar de actuación responsable en la era digital.

Decreto

Presidencia del Consejo de Ministros. (09 de setiembre de 2025). Decreto Supremo N.° 115-2025-PCM, que aprueba el Reglamento de la Ley N.° 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país. Diario Oficial El Peruano https://www.gob.pe/institucion/pcm/normas-legales/7133522-115-2025-pcm

Deja una respuesta Cancelar la respuesta

Lo siento, debes estar conectado para publicar un comentario.

7 Ene

BlogAlertas Legales

Fortalecimiento del sistema de prevención de lavado de activos y financiamiento del terrorismo: lineamientos, obligaciones y avances institucionales en el marco de la supervisión de la UIF.

La Unidad de Inteligencia Financiera del Perú (UIF) ha mantenido e intensificado la capacitación de los sujetos obligados sobre aspectos trascendentales: la remisión del Informe

5 Dic

BlogAlertas Legales

La Unidad de Inteligencia Financiera incrementa las actividades de capacitación y difusión de acciones preventivas

La Unidad de Inteligencia Financiera del Perú (UIF) publicó el Boletín N.° 155 correspondiente a noviembre de 2025, con el propósito de actualizar a los sujetos obligados, ofi

24 Nov

Uncategorized

La Unidad de Inteligencia Financiera de la SBS promueve la capacitación de los oficiales de cumplimiento y orienta la actuación en casos de supervisión

Con el objetivo de actualizar a los sujetos obligados, oficial de cumplimiento y público interesado en materia de prevención del lavado de activos y del financiamiento del terror

17 Nov

Alertas LegalesBlog

Disposiciones adicionales de la Ley n.º 32451, que modificó la Ley n.º 30096, Ley de Delitos Informáticos, y el Código Penal, respecto a la activación ilegal de líneas de servicios móviles y la posesión ilegal de SIM cards.

En un contexto decreciente expansión de los delitos informáticos y de lasmodalidades delictivas que emplean los servicios de telecomunicaciones como soporte,el Estadoperuano ha r

5 Nov

BlogAlertas Legales

Comentarios sobre los avances de la Unidad de Inteligencia Financiera en materia de prevención de lavado de activos y financiamiento del terrorismo

Con el propósito de contribuir en el conocimiento de los sujetos obligados y público interesado en materia de prevención del lavado de activos y del financiamiento del terrorism

19 Oct

Blog

Prevención del lavado de activos en juegos y apuestas online: el nuevo estándar regulatorio del MINCETUR y la SBS

La Superintendencia de Banca y Seguros SBS ha emitido la resolución N.° 03622-2025. Esta marca un capítulo nuevo en la regulación de los juegos y apuestas a distancia en el Per

16 Oct

BlogAlertas Legales

Reglamento del D. Leg. N° 1611 contra la extorsión

El Decreto Supremo N.° 009-2025-IN fue publicado el pasado 9 de octubre, el Poder Ejecutivo dio un paso importante en la lucha contra la extorsión al aprobar el reglamento del De

2 Oct

BlogAlertas Legales

Modificación de la Ley 30096, Ley de Delitos Informáticos, y el Código Penal, Decreto Legislativo 635, respecto a la activación ilegal de líneas de servicios móviles y a la posesión ilegal de SIM card

La Ley N.° 32451, publicada en el Diario Oficial El Peruano el 30 de setiembre de 2025, constituye un hito normativo en el marco de la evolución de la política criminal peruana

25 Sep

BlogUncategorized

Ley Nº 32446: “criminalidad sistemática” en el Perú

La Ley N.° 32446 incorporó al Código Penal el artículo 318-B bajo el nombre de “criminalidad sistemática”. La regla es clara y severa: cadena perpetua para quien, mediante

Deja una respuesta Cancelar la respuesta

Fortalecimiento del sistema de prevención de lavado de activos y financiamiento del terrorismo: lineamientos, obligaciones y avances institucionales en el marco de la supervisión de la UIF.

La Unidad de Inteligencia Financiera incrementa las actividades de capacitación y difusión de acciones preventivas

La Unidad de Inteligencia Financiera de la SBS promueve la capacitación de los oficiales de cumplimiento y orienta la actuación en casos de supervisión

Disposiciones adicionales de la Ley n.º 32451, que modificó la Ley n.º 30096, Ley de Delitos Informáticos, y el Código Penal, respecto a la activación ilegal de líneas de servicios móviles y la posesión ilegal de SIM cards.

Comentarios sobre los avances de la Unidad de Inteligencia Financiera en materia de prevención de lavado de activos y financiamiento del terrorismo

Prevención del lavado de activos en juegos y apuestas online: el nuevo estándar regulatorio del MINCETUR y la SBS

Reglamento del D. Leg. N° 1611 contra la extorsión

Modificación de la Ley 30096, Ley de Delitos Informáticos, y el Código Penal, Decreto Legislativo 635, respecto a la activación ilegal de líneas de servicios móviles y a la posesión ilegal de SIM card

Ley Nº 32446: “criminalidad sistemática” en el Perú

MAZUELOS & ABOGADOS

Contacto

Ubicación

Asociados a:

ÁREAS

Obtenga una consulta gratuita y un presupuesto