Se aprueba el Reglamento de la Ley que promueve el uso de la Inteligencia Artificial (IA)

Objeto y alcance

El Reglamento busca fomentar el uso responsable, ético y transparente de la IA en el marco de la transformación digital del país.

Aplica a: entidades públicas, empresas públicas (incluidas bajo FONAFE), sector privado, academia y sociedad civil que integran el Sistema Nacional de Transformación Digital.

Excluye: usos personales y los vinculados a defensa/seguridad nacional (con principios reforzados de proporcionalidad, supervisión y derechos humanos).

Principios rectores

Se refuerzan principios alineados con estándares internacionales (OCDE, UNESCO, AI Act UE):

• No discriminación y prevención de sesgos algorítmicos.
• Privacidad y protección de datos personales.
• Supervisión humana obligatoria en decisiones críticas.
• Transparencia y explicabilidad de procesos y resultados.
• Sostenibilidad social, económica y ambiental.
• Rendición de cuentas y responsabilidad.
• Respeto a derechos de autor y propiedad intelectual.

Gobernanza institucional

• PCM – SGTD: se consolida como autoridad nacional en IA, con facultad de emitir lineamientos, estándares técnicos, opinión vinculante, y monitorear usos indebidos y de riesgo alto.
• CNIDIA: Centro Nacional de Innovación Digital e IA, como eje para proyectos, alianzas y capacitación.
• Otros actores: Comités de Gobierno y Transformación Digital en cada entidad, Oficiales de Seguridad Digital, de Datos Personales y de Gobierno de Datos.
• Articulación multisectorial: academia, empresas, sociedad civil y organismos internacionales.

Clasificación de riesgos

Inspirada en el AI Act europeo, se estructura en tres niveles:

• Uso indebido (prohibido): manipulación engañosa de decisiones, biometría en tiempo real en espacios públicos (salvo excepciones limitadas), predicción de criminalidad, capacidad letal autónoma, vigilancia masiva sin base legal.
• Riesgo alto: IA aplicada en sectores sensibles (salud, educación, selección y gestión laboral, scoring crediticio, programas sociales, activos críticos como energía, telecomunicaciones, banca, agua, transporte).
• Riesgo aceptable: todos los demás usos, sujetos a principios generales y buenas prácticas.

Transparencia, privacidad y ética

• Etiquetado y explicabilidad: los sistemas de riesgo alto deben informar al usuario sobre finalidad, funcionalidades y decisiones; además, explicar resultados cuando impacten derechos humanos (transparencia algorítimica)
• Protección de datos personales: cumplimiento estricto de la Ley N.° 29733 y su Reglamento (DS N.° 016-2024-JUS), bajo supervisión de la ANPDP.
• Lineamientos éticos: la SGTD deberá emitir lineamientos en 180 días, sobre desarrollo y uso ético de la IA.

Innovación y fomento

• Sandbox nacional de IA: entornos de prueba regulatoria controlada para startups, MYPES y proyectos estratégicos.
• Cómputo en nube pública para proyectos de IA de interés público.
• Fomento de código abierto y comunidades colaborativas de IA.
• Laboratorios de IA en universidades y centros de investigación.
• Atracción y retención de talento nacional e internacional.

Supervisión y participación ciudadana

• La SGTD coordinará con Indecopi, ANPDP, Policía y otros entes sectoriales.
• Canal digital sobre IA en gob.pe/iaperu para denuncias y alertas ciudadanas sobre usos indebidos.
• Facultades de monitoreo preventivo y de requerir información técnica a desarrolladores e implementadores.

Cronograma de implementación

• Entrada en vigor: 90 días hábiles tras publicación → enero 2026.
• Sector público: implementación gradual de 1 a 3 años, según entidad (Poder Ejecutivo, Legislativo, Judicial, Gobiernos Regionales, Locales, Universidades, etc.).
• Sector privado:
  • Salud, educación, justicia, seguridad, finanzas: 1 año.
  • Transporte, comercio, trabajo: 2 años.
  • Producción, agricultura, energía, minería: 3 años.
  • Otros sectores: 4 años.
  • MYPES y emprendimientos: plazos diferenciados de 2 a 3 años.

Obligaciones específicas del sector privado

• Políticas internas y protocolos de uso ético y seguro de la IA.
• Supervisión humana en sistemas de riesgo alto, con personal capacitado para detener o corregir decisiones.
• Registro y trazabilidad: documentación sobre funcionamiento, fuentes de datos, impactos sociales y éticos (mínimo 3 años en caso de evaluaciones de impacto).
• Evaluación de impacto (riesgo alto): no obligatoria, pero altamente recomendada; otorga reconocimientos por parte de la SGTD.
• Adopción de estándares internacionales (ISO/IEC 42001, 27002, 27005, 23053, 38507, entre otros).
• Capacitación interna para colaboradores sobre riesgos y buenas prácticas en IA.
• Cumplimiento de normativa de protección de datos personales (ANPDP).