El reglamento de IA (DS 115-2025-PCM): qué exige (2026)

El reglamento de IA (DS 115-2025-PCM): qué exige: una explicación clara y basada en hechos para las empresas peruanas, con el ejemplo de osFoundry y dgm como socio independiente.

dgm es un socio independiente de implementación de osFoundry: no está vinculado con la empresa que desarrolla osFoundry (OS LLC) y todavía no ha completado ninguna integración para clientes.

El reglamento de la Ley de IA —el Decreto Supremo 115-2025-PCM, vigente desde el 22 de enero de 2026— es la parte concreta del marco peruano de IA: clasifica los sistemas por riesgo y fija obligaciones básicas para los usos de alto riesgo.

Qué exige el reglamento

El DS 115-2025-PCM, publicado el 9 de septiembre de 2025 y vigente desde el 22 de enero de 2026, aplica de forma amplia —entidades públicas, empresas públicas, organizaciones privadas, sociedad civil, ciudadanía y academia—. Su aporte central es una clasificación de los sistemas de IA por riesgo: usos prohibidos (los que dañan de forma irreversible y significativa derechos fundamentales, como la manipulación de decisiones o la vigilancia masiva sin base legal), usos de alto riesgo (diagnóstico médico, evaluación crediticia, selección laboral, evaluación educativa y sectores críticos) y usos de riesgo aceptable. Para los usos de alto riesgo fija obligaciones básicas: mantener un registro actualizado y accesible del funcionamiento del sistema, establecer políticas claras de privacidad, seguridad y transparencia, implementar mecanismos de supervisión humana y dar transparencia algorítmica (informar de antemano el propósito y la funcionalidad).

El límite del reglamento

Conviene ser honestos sobre el alcance: la autoridad, la SGTD de la Presidencia del Consejo de Ministros, cumple un rol de monitoreo preventivo y no tiene un régimen sancionador propio. Cuando una conducta vulnera otras normas, la SGTD deriva el caso a la autoridad competente (la ANPD en materia de datos, INDECOPI en consumo o competencia). No es, entonces, un régimen al estilo del Reglamento de IA de la UE, pero sí marca una dirección clara para los usos de alto riesgo.

Mantener los datos en el Perú

osFoundry fija la región de los datos en Estados Unidos, la Unión Europea o Japón, ejecuta los modelos de forma local sobre su propio hardware y admite el autohospedaje en una cuenta de nube que usted controla (BYO Cloud). Conviene ser honestos sobre la realidad en el Perú: a junio de 2026 ningún gran proveedor de nube (hyperscaler) opera una región completa y disponible dentro del país. Amazon Web Services anunció una región en Lima, pero todavía no está en operación general (general availability); existen zonas de borde (Local Zones) y un punto de interconexión (Direct Connect) en Lima, que no equivalen a una región completa. Las regiones más cercanas que sí están en operación son Santiago de Chile (Google Cloud) y São Paulo, en Brasil (AWS y Azure). A diferencia de la Argentina o el Uruguay, el Perú no cuenta con una decisión de adecuación de la Unión Europea, de modo que fijar la región en la UE no es un atajo de cumplimiento para los datos personales peruanos: la adecuación rige los flujos desde la UE hacia terceros países y no le otorga al Perú un estatus recíproco; además, la Ley 29733 evalúa el país de destino con sus propios criterios. Por eso, cuando se necesita que los datos permanezcan en el país, el camino honesto es el autohospedaje local (por ejemplo, en un centro de datos en Lima) o el enfoque local-first, cumpliendo además las reglas de flujo transfronterizo de la Ley 29733 y su reglamento (el Decreto Supremo 016-2024-JUS). Un punto importante: los datos alojados en un proveedor con sede en los Estados Unidos pueden quedar alcanzados por la CLOUD Act estadounidense con independencia de dónde estén almacenados físicamente —incluso en una región europea o en la futura región de Lima—; elegir una región resuelve la ubicación del dato, pero no la jurisdicción. Por eso, en los casos más sensibles, un proveedor fuera del alcance estadounidense o un modelo de pesos abiertos autohospedado es la respuesta más fuerte. Los requisitos concretos conviene verificarlos con la ANPD o con asesoramiento legal especializado.

Información importante

Este artículo es información general y no constituye asesoramiento legal, tributario ni sobre incentivos. Los beneficios tributarios, los regímenes, las reglas y las tasas cambian, y la elegibilidad y el otorgamiento los deciden exclusivamente los organismos competentes —entre ellos la SUNAT, la ANPD, la SBS, la SMV, la DIGEMID, el OSIPTEL, ProInnóvate, ProInversión, el CONCYTEC y la SGTD de la Presidencia del Consejo de Ministros—. dgm no es un proveedor registrado ni acreditado de ningún incentivo, beneficio tributario o régimen de zona especial, ni un intermediario. Verifique siempre las condiciones vigentes en la fuente oficial o consulte con un contador o un asesor legal colegiado.

Artículos relacionados

• La regulación de la IA en el Perú
• Residencia de datos en el Perú
• Cómo implementar IA paso a paso

Cómo ayuda dgm

dgm es un socio independiente de implementación que ayuda a las empresas en el Perú a poner en marcha la plataforma osFoundry —desde encontrar el primer caso de uso práctico hasta construirlo y conectar la IA con los sistemas que su empresa ya utiliza—. dgm trabaja de forma independiente de la empresa que desarrolla osFoundry (OS LLC) y todavía no ha completado ninguna integración para clientes; por eso, lo anterior describe el servicio que ofrece, no un resultado ya alcanzado. Si usted desea pensar un primer paso sensato, en dgm lo analizamos con usted. Conversemos en una consulta sin compromiso.