NORMA LEGAL OFICIAL DEL DÍA 09 DE SEPTIEMBRE DEL AÑO 2025 (09/09/2025)

11 NORMAS LEGALES Martes 9 de setiembre de 2025 El Peruano / 26.2 Las responsabilidades por el incumplimiento de las obligaciones y prohibiciones que derivan de la normativa de protección de datos personales se determinan conforme al régimen sancionador previsto en la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento. Artículo 27. Ética en el desarrollo, implementación y uso de la IA 27.1 Todo desarrollador, implementador y usuario de la IA debe tener un comportamiento probo y ético, para lo cual se consideran las siguientes acciones: a) Promover la participación de equipos diversos y multidisciplinarios para el desarrollo e implementación de sistemas basados en IA. b) Garantizar el pleno respeto de los derechos humanos, y evitar que se generen resultados injustos o discriminatorios. c) Considerar el impacto social y ambiental en el desarrollo de los sistemas basados en IA. d) Implementar las mejores prácticas, estándares o Normas Técnicas Nacionales o Internacionales para identi fi car y minimizar los sesgos de los algoritmos o bases de datos utilizados por los sistemas basados en IA. 27. 2 La SGTD, en articulación, cuando corresponda, con las entidades competentes del SNTD, aprueba los Lineamientos Éticos para el desarrollo, implementación y uso de la IA. TÍTULO VI OBLIGACIONES ESPECÍFICAS Y SUPERVISIÓN PARA EL DESARROLLO, IMPLEMENTACIÓN Y USO DE INTELIGENCIA ARTIFICIAL CAPÍTULO I. OBLIGACIONES DE LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA Artículo 28. Obligaciones Generales Las entidades de la Administración Pública tienen las siguientes obligaciones: 28.1 Aprobar una Política institucional del uso seguro, responsable y ético de los sistemas basados en IA, que contenga como mínimo, los principios establecidos en el presente Reglamento, para asegurar su desarrollo, implementación y uso bajo un enfoque en la protección de los derechos fundamentales y el bienestar social. 28.2 Para el desarrollo de sistemas basados en IA, deben usar la NTP-ISO/IEC 42001:2025 Tecnología de la información. Inteligencia arti fi cial. Sistema de gestión (SGIA). 28.3 Conformar equipos técnicos de trabajo multidisciplinarios, en base a la necesidad y complejidad de la materia o problema público a evaluar, para el desarrollo o uso de un sistema basado en IA. 28.4 Generar, recolectar, consolidar y obtener datos y evidencias de los problemas públicos para desarrollar casos de uso a evaluar que, requieran de un sistema basado en IA. 28.5 Reforzar las capacidades y habilidades digitales del personal de las entidades de la Administración Pública en temas relacionados en sistemas basados en IA, conforme al Plan de Desarrollo de las Personas que elabora la O fi cina de Recursos Humanos o quien haga sus veces. 28.6 Cumplir con las disposiciones sobre el uso, adquisición y adecuación del software, los estándares técnicos para la evaluación de software, los estándares técnicos sobre procesos del ciclo de vida del software, las evaluaciones del uso y aplicaciones del software de IA, y otras normas a fi nes aplicable a las entidades de la Administración Pública, conforme con la normatividad vigente. 28.7 Distribuir y poner a disposición datos de alto valor, a través del CND, para los desarrolladores de sistemas basados en IA, atendiendo las normas en materia de gobierno digital, transparencia, datos personales y datos abiertos. 28.8 Publicar el código fuente de los sistemas basados en IA, fi nanciados con fondos públicos, con licencia libre o abierta en la Plataforma Nacional de Software Público Peruano (PNSSP), conforme a la normativa vigente en software público, y de transparencia y acceso a la información pública. 28.9 Promover que su personal y funcionariado cumplan con las normas del Código de Ética de la Función Pública, su Reglamento y las normas de Integridad, en el desarrollo, implementación y uso de sistemas basados en IA, así como las recomendaciones internacionales y principios éticos de la Organización para la Cooperación y el Desarrollo Económico (OCDE) para un correcto desarrollo, seguimiento y regulación de la inteligencia artifi cial (IA) en favor de la ciudadanía. 28.10 Incluir los proyectos de sistemas basado en IA en su Plan de Gobierno Digital (PGD). 28.11 En los sistemas basados en IA de riesgo alto, implementar mecanismos de supervisión humana en la toma de decisiones que pudiesen implicar un impacto signi fi cativo en sectores de salud, educación, justicia, fi nanzas y acceso a programas y servicios básicos. Se debe garantizar que el personal cuente con las siguientes condiciones como mínimo: i) estar capacitado en la materia a fi n de no sesgarse por los resultados del sistema basado en IA y ii) tener la capacidad de detener, corregir o invalidar las decisiones del sistema de IA. Artículo 29. Medidas de seguridad digital con relación al desarrollo, implementación y uso de la IA Las entidades de la Administración Pública, que desarrollen, implementen y usen un sistema basado en IA, deben adoptar las siguientes medidas: a) Gestión de riesgos: Comprende la evaluación y adopción de medidas para el tratamiento de los riesgos de los sistemas basados en IA. Entre dichas medidas, se encuentran cifrado de datos, detección de anomalías, robustez de los modelos, entre otros. b) Privacidad desde el diseño: Integrar la privacidad desde el diseño del sistema basado en IA, minimizando la cantidad de datos personales recopilados y utilizando técnicas de anonimización. c) Auditorías de seguridad: Realizar auditorías de seguridad digital periódicas para identi fi car y corregir vulnerabilidades y sesgos en el sistema basado en IA; dichas auditorías se realizan de forma obligatoria antes de la implementación del sistema y durante toda su operación. d) Gestión de Incidentes: Gestionar los incidentes derivados del diseño, desarrollo, uso y funcionamiento de un sistema basado en IA como parte de su Sistema de Gestión de Seguridad de la Información. Artículo 30. Evaluación de Impacto de riesgo alto 30.1 Cuando un sistema basado en IA, se considere de riesgo alto, previo al desarrollo o implementación, se debe realizar un análisis de impacto a fi n de identi fi car y minimizar los riesgos potenciales, garantizando que el sistema evite la afectación a los derechos fundamentales y asegurando que no perpetúen desigualdades o sesgos. 30.2 En caso se detecten riesgos que afecten los derechos fundamentales o genere decisiones automatizadas erróneas, el desarrollador o implementador debe adoptar las medidas necesarias para mitigar los impactos y realizar los ajustes necesarios previos a la implementación fi nal. Estas medidas incluyen ajustes en los modelos, mejora en la calidad de los datos y mecanismos de supervisión humana, los mismos que deben quedar documentados, de ser requerido por una autoridad judicial o administrativa conforme a sus competencias. 30.3 La SGTD, en articulación con las autoridades competentes del Sistema Nacional de Transformación Digital, establece las normas complementarias para el cumplimiento de la Evaluación de Impacto de Riesgo Alto.