NORMA LEGAL OFICIAL DEL DÍA 09 DE SEPTIEMBRE DEL AÑO 2025 (09/09/2025)

12 NORMAS LEGALES Martes 9 de setiembre de 2025 El Peruano / CAPÍTULO II. OBLIGACIONES Y BUENAS PRÁCTICAS DE LAS ORGANIZACIONES DEL SECTOR PRIVADO Artículo 31. Obligaciones generales del desarrollador y/o implementador El desarrollador o implementador de los sistemas basados en IA, tienen las siguientes obligaciones: 31.1 En los sistemas basados en IA de riesgo alto, mantener un registro actualizado y accesible, con enfoque preventivo, sobre los principios del funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo, los impactos sociales y éticos esperados. 31.2 Establecer políticas, protocolos y procedimientos claros, que permitan preservarla seguridad y la privacidad, promover la transparencia y la explicabilidad, garantizar la responsabilidad y la rendición de cuentas, conforme a los principios establecidos en el presente Reglamento y tomando como referencia estándares técnicos internacionales. 31.3 Fomentar la educación y concientización interna de sus colaboradores sobre los riesgos asociados con el uso de la IA y la adopción de forma segura, responsable y ética conforme a la Política institucional aprobada. 31.4 En los sistemas basados en IA de riesgo alto, implementar mecanismos de supervisión humana en la toma de decisiones que pudiesen implicar un impacto signi fi cativo en sectores de salud, educación, justicia, fi nanzas y acceso a programas y servicios básicos. Se debe garantizar que el personal cuente con las siguientes condiciones como mínimo: i) estar capacitado en la materia a fi n de no sesgarse por los resultados del sistema basado en IA, y ii) tener la capacidad de detener, corregir o invalidar las decisiones del sistema basado en IA. Artículo 32. Evaluación de Impacto de riesgo alto 32.1 Cuando un sistema basado en IA, se considere de riesgo alto, previo al desarrollo o implementación, de manera voluntaria, se puede realizar un análisis de impacto a fi n de identi fi car y minimizar los riesgos potenciales, garantizando que el sistema evite la afectación a los derechos fundamentales y asegurando que no perpetúen desigualdades o sesgos. 32.2 En caso se detecten riesgos que afecten los derechos humanos o posibilidad de decisiones automatizadas erróneas, el desarrollador o implementador adopta medidas proactivas para mitigar los impactos y realiza los ajustes necesarios previos a la implementación fi nal. Entre estas medidas se encuentran: ajustes en los modelos, mejora en la calidad de los datos y mecanismos de supervisión humana. 32.3 Los desarrolladores e implementadores que realicen una evaluación de impacto documentan sus hallazgos y las medidas correctivas adoptadas. La conservación de esta documentación se realiza por un período mínimo de tres (3) años, contados a partir de su emisión, lo que facilita la trazabilidad del sistema y sirve como evidencia, de ser requerido por una autoridad judicial o administrativa conforme a sus competencias. 32.4 La SGTD promueve reconocimientos para los desarrolladores o implementadores que elaboren su evaluación de impacto de riesgo alto. 32.5 La evaluación de impacto de riesgo alto se puede elaborar tomando como referencia la guía o normas complementarias aprobadas por la SGTD, salvo que ya se disponga de una herramienta, instrumento o estándar implementado. Artículo 33. Estándares y mejores prácticas 33.1. La SGTD promueve el uso de estándares técnicos internacionales o sus adopciones nacionales aprobadas por INACAL, como las siguientes Normas Técnicas: NTP-ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad. Controles de seguridad de la información, ISO/IEC 38507: 2022 Implicaciones de gobernanza en el uso de la IA por las organizaciones, NTP-ISO/IEC 42001:2025 Tecnología de la información. Inteligencia arti fi cial. Sistema de gestión (SGIA), ISO/IEC 23053:2022 Marco para Sistemas de IA que utilizan aprendizaje automático, NTP-ISO/IEC 27005:2022 Seguridad de la información, ciberseguridad y protección de la privacidad. Orientación sobre la gestión de los riesgos de seguridad de la información; y otras normas técnicas pertinentes en su edición vigente o buenas prácticas complementarias, conforme a las necesidades y regulación de su sector, ámbito o dominio 33.2 La SGTD promueve la observancia de las disposiciones sobre el uso, adquisición y adecuación del software, los estándares técnicos para la evaluación de software, los estándares técnicos sobre procesos del ciclo de vida del software, estándares técnicos sobre gestión de seguridad de la información, las evaluaciones del uso y aplicaciones del software de IA, aplicable a las entidades de la Administración Pública, conforme con la normatividad vigente. CAPÍTULO III. SUPERVISIÓN Y MONITOREO Artículo 34. Supervisión para el desarrollo y uso de IA 34.1 La SGTD, en el ejercicio de sus funciones de supervisión, realiza las gestiones conducentes para hacer efectiva la responsabilidad de los funcionarios de las entidades de la Administración Pública ante el incumplimiento en la implementación del presente Reglamento, para lo cual reporta a la Contraloría General de la República (CGR), para las acciones correspondientes. 34.2 En el caso en que la SGTD, tome conocimiento de una presunta vulneración a la propiedad intelectual, protección de datos personales o la afectación de otros derechos fundamentales y/o legislación vigente, comunica el hecho a las autoridades competentes, para las acciones fi scalizadoras y sancionadoras correspondientes. Artículo 35. Monitoreo y seguimiento del desarrollo y uso indebido de la IA y riesgo alto La SGTD, a través de la Subsecretaría de Tecnologías y Seguridad Digital (SSTSD), que administra el Centro Nacional de Seguridad Digital (CNSD), realiza acciones de monitoreo, con un enfoque preventivo, sobre el desarrollo e implementación de sistemas basados en IA, consideradas de uso indebido y riesgo alto, entre las que se encuentran: a) Requerir información y remitir recomendaciones o alertas técnicas: Realizadas para evaluar el funcionamiento y los riesgos de los sistemas basados en IA. b) Solicitar información que permita veri fi car el cumplimiento del presente Reglamento. c) Articular con los Equipos de Respuestas ante Incidentes de Seguridad Digital (CSIRT por sus siglas en inglés Computer Security Incident Response Team ), con las entidades de la Administración Pública, las entidades privadas, la academia y con los organismos nacionales e internacionales, según corresponda. Artículo 36. Mecanismos de alertas y denuncias por parte de la ciudadanía 36.1 Toda persona, incluyendo niñas, niños y adolescentes a través de quienes ejercen la patria potestad o tutela, puede alertar sobre el uso indebido de los sistemas basados en IA o el incumplimiento de las obligaciones del desarrollador o implementador establecidas en el presente Reglamento y normas complementarias, a través del canal digital sobre Inteligencia Arti fi cial, en la sede digital de la PCM de la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (www. gob.pe/iaperu). La SGTD, establece el protocolo de alertas, y cuando se advierta una afectación a derechos fundamentales, traslada la información a las autoridades competentes para las acciones correspondientes. 36.2 Las personas que se consideren afectadas negativamente por sistemas basados en IA pueden comunicar los hechos o denunciar, según sea el caso, a las siguientes entidades de la Administración Pública: