El reciente Decreto Supremo N° 115-2025-PCM que aprueba el Reglamento de la Ley N° 31814 no solo ha llegado a un punto culminante en la materia de regulación de la inteligencia artificial (IA) en el Perú, sino que además ha promulgado un instrumento normativo que va en la ruta de la promoción del uso de IA en medio del impulso de la transformación digital, pero siempre con las personas y el respeto de los derechos humanos ocupando el centro del mismo. El siguiente análisis consiste en descubrir aciertos muy relevantes, pero también desafíos de la implementación que podrían limitar la utilidad del texto normativo con el tiempo.
Punto de Partida Normativo y Principios Básicos: Una Acertada Decisión Estratégica
El reglamento se encuentra incluido dentro de un marco legal anterior al mismo, puesto que invoca el Decreto Legislativo N° 1412 de Gobierno Digital y el Decreto de Urgencia N° 006-2020 que crea el Sistema Nacional de Transformación Digital. La ley N° 31814, que desarrolla el reglamento, persigue como finalidad la promoción del uso de la IA dentro de un entorno que asegure el uso ético, sostenible, transparente y responsable de la misma.
El Título II del reglamento es particularmente robusto, estableciendo una serie de Principios Rectores que complementan los de la ley original. Estos principios son cruciales para un desarrollo legalmente sólido de la IA:
No discriminación: Se prohíben categóricamente obtener resultados de la IA que sean discriminatorios o sesgados, y el operador de estos sistemas de IA deberá implementar medidas técnicas, organizativas y procedimentales que prevengan estos efectos o los minimicen lo máximo posible.
Privacidad de los datos personales: Se exige que se respete de manera irrefutable la protección de los datos personales del usuario, por lo que si en el uso de la IA se crean medidas técnicas, organizativas y legales que aseguren información personal.
Transparencia algorítmica y de conexión: Los sistemas de IA deben ser explicables y comprensibles por los usuarios y los actores deben asumir la rendición de cuentas por sus decisiones. Estos principios responden claramente a una delimitación previa de la regulación de IA que se aplica, por ejemplo, en la unión Europea, en una lógica que potencia la priorización de una regulación centrada en los derechos humanos.
En cuanto a la clasificación de riesgos: delimita la responsabilidad. En este reglamento se adopta un enfoque de clasificación de riesgos, haciendo una similitud con la Ley de IA de la UE. Sobre ello, el criterio de los riesgos es un esencial para asegurar una regulación que sea proporcional y efectiva. Por tanto, los sistemas de IA se dividen en tres categorías:
Uso indebido: actuaciones que tengan un impacto significativo y negativo en los derechos humanos. El inventario que prohíbe esos usos es exhaustivo y comprende la manipulación engañosa, la vigilancia masiva sin ningún tipo de cobertura jurídica, la identificación biométrica en tiempo real en espacios públicos con el fin de clasificar a las personas.
Riesgo alto: Los usos que impliquen un riesgo para la vida, la seguridad física o los derechos fundamentales, pero que siempre deberá poder ser aceptado si se tiene en cuenta determinadas condiciones.
Riesgo aceptable: Todos los demás sistemas no incluidos en las categorías anteriores. Esta clasificación permite a los reguladores y a las entidades enfocarse en los usos que representan los mayores riesgos, evitando una carga excesiva para los sistemas de menor impacto. Desafíos Jurídicos y de Implementación A pesar de sus fortalezas, el reglamento enfrenta desafíos significativos que podrían comprometer su operatividad.
Dependencia de Normas Complementarias: El texto hace referencia constante a futuras “normas complementarias”, “lineamientos”, y “guías” que serán emitidas por la SGTD. Esta dependencia podría generar inseguridad jurídica y retrasar la implementación efectiva de los artículos clave, como la Evaluación de Impacto de Riesgo Alto.
Ausencia de un Régimen Sancionador Unificado: El reglamento no establece un régimen sancionador propio para las infracciones. En cambio, estipula que la SGTD deberá reportar los incumplimientos a “las autoridades competentes” para que “adopten las acciones correspondientes”.
Si bien cita a la Contraloría General de la República y a la ANPDP en caso de vulneraciones específicas, la falta de un sistema de sanciones, por la falta de un sistema de sanciones para garantizar la aplicación de lo que dispone la propia SGTD podría limitar la posibilidad de deberes para su aplicación efectivamente. Brechas de cobertura: El Reglamento excluye de su aplicación la defensa y la seguridad nacional siempre que se ajusten a los principios de protección de los derechos fundamentales.
Aunque esta excepción tiene sentido desde una perspectiva de soberanía, crea un vacío legal que podría ser problemático, dado el alto riesgo que los sistemas de IA pueden implicar en estos ámbitos.
Conclusión
Por fin, es un marco legal prometedor, con futuras responsabilidades. El Decreto Supremo N° 115-2025-PCM es un avance legal fundamental para Perú, estableciendo un marco ético y de gobernanza que se alinea con las mejores prácticas internacionales. Sin embargo, su verdadero valor jurídico dependerá de la diligencia y eficacia de la SGTD en la emisión de las normas complementarias y en la supervisión de su cumplimiento. La norma es un esqueleto legal robusto, pero ahora la SGTD tiene la monumental tarea de darle carne a ese esqueleto. Solo con una implementación rigurosa y la asignación de recursos adecuados, este reglamento podrá garantizar que la IA se convierta en una herramienta de desarrollo, no en una fuente de riesgos para los derechos y el bienestar de los ciudadanos peruanos.
