Inicio Actualidad Protección de Datos Personales y IA: ¿Es suficiente la Ley 29733 para proteger los datos personales en contextos de IA?
ActualidadInterdisciplinario

Protección de Datos Personales y IA: ¿Es suficiente la Ley 29733 para proteger los datos personales en contextos de IA?

por PÓLEMOS
0 vistas

 

Alexandra Grissel Acosta Reto

Estudiante de Derecho en la Universidad Científica del Sur. Asistente de cátedra en Derecho Penal – Parte Especial.

Paulo Cesar Gomez Lopez

Estudiante de Derecho en la Universidad Científica del Sur. Asistente de cátedra en Derecho Penal – Parte Especial. Miembro de la Clínica Jurídica de Interés Público Científica (CJIP) – Capítulo Penal y en la Clínica de Litigación Ambiental Científica (CLAC) – Unidad de Investigación Jurídica.

Agradecimiento: Queremos expresar nuestro más sincero agradecimiento a la profesora Macarena del Busto Calosi, de la Universidad Científica del Sur, cuya excepcional orientación, dedicación y conocimiento fueron clave para la elaboración de este artículo. Agradecemos también a la profesora Olga Alcántara Francia por sus valiosas sugerencias y apoyo.

Sumario: 1. Introducción 2. Análisis normativo peruano sobre la regulación de Inteligencia Artificial 2.1. Ley de Inteligencia Artificial 2.2. Reglamento de Inteligencia Artificial 2.3. Exposición de Motivos del Reglamento 2.4. Inteligencia artificial y tratamiento de datos personales 2.5. Riesgos específicos de la IA para la privacidad 3. Marco normativo peruano de protección de datos personales 3.1. Ley 29733: alcances y limitaciones 3.2. Reglamento (DS 016-2024-JUS) 3.3. Autoridad Nacional de Protección de Datos Personales 4. Derechos de los titulares en contextos de IA 4.1. Derecho de información (art. 18 Ley; art. 74 Reglamento) 4.2. Derecho al tratamiento objetivo (art. 23 LPDP; art. 87 Reglamento) 4.3 Derecho ARCO (arts. 19-22 LPDP; arts. 75-86 Reglamento) 5. Conclusión 6. Referencias bibliográficas

Resumen

El artículo analiza el marco normativo peruano sobre inteligencia artificial, centrado en la Ley N.° 31814, su Reglamento y la Ley de Protección de Datos Personales (Ley 29733). Se destacan los principios de ética, transparencia, seguridad y responsabilidad que orientan el uso de la IA, así como los riesgos que esta tecnología plantea para la privacidad, la no discriminación y la igualdad. Se identifican vacíos regulatorios frente a sistemas automatizados, la limitada capacidad de supervisión de la Autoridad Nacional de Protección de Datos Personales y la necesidad de explicabilidad algorítmica. Finalmente, se subraya que fortalecer la gobernanza y los mecanismos de protección de derechos fundamentales es clave para equilibrar la innovación tecnológica con la tutela de los derechos constitucionales en Perú.

Palabras clave: Inteligencia Artificial, Protección de Datos Personales, Transparencia Algorítmica, Ética y Responsabilidad, Derechos Fundamentales.

1. Introducción

El acelerado avance de la inteligencia artificial ha transformado profundamente los modelos de gestión pública, la economía y la interacción social, generando oportunidades significativas, pero también riesgos sustanciales para los derechos fundamentales. Como advierte Martínez (2017), “el impacto de la transformación digital apoyada en el desarrollo y aplicación de la IA no puede ser ajeno a la protección de los derechos fundamentales que fomentan y sustentan el entramado jurídico de los estados constitucionales” (p. 154). En este contexto, el Perú ha desarrollado un marco normativo compuesto por la Ley 31814, su Reglamento y el régimen de protección de datos personales, con el objetivo de asegurar que la IA se despliegue bajo criterios de seguridad, ética, transparencia y responsabilidad. Este conjunto de normas incorpora principios, obligaciones y mecanismos que buscan equilibrar el impulso de la innovación tecnológica con la salvaguarda de la privacidad, la igualdad, la no discriminación y demás derechos que conforman el núcleo del Estado constitucional.

2. Análisis normativo peruano sobre la regulación de Inteligencia Artificial

2.1. Ley de Inteligencia Artificial

La Ley N° 31814, que promueve el uso de la inteligencia artificial a favor del desarrollo económico y social del país, establece principios fundamentales para su regulación, entre los que destacan la privacidad de la inteligencia artificial, que prohíbe transgredir la privacidad de las personas y exige un uso seguro (Título Preliminar, artículo único, literal f), y el desarrollo ético para una IA responsable, que define la ética como base para identificar responsabilidades (literal e). Asimismo, el artículo 1 señala que el objeto de la ley es garantizar un uso ético, sostenible, transparente y responsable de la IA, privilegiando el respeto de los derechos humanos, mientras que el artículo 2 declara de interés nacional la promoción del talento digital y la seguridad digital en la adopción de tecnologías emergentes. Por su parte, el artículo 4 designa a la Presidencia del Consejo de ministros, a través de la Secretaría de Gobierno y Transformación Digital, como autoridad nacional encargada de dirigir, evaluar y supervisar el desarrollo de IA, incluyendo la adopción de lineamientos éticos y la creación de infraestructura de datos pública y accesible.

2.2. Reglamento de Inteligencia Artificial

El Reglamento de la Ley N.° 31814, aprobado por el D.S. N.° 115-2025-PCM, establece un marco normativo para el desarrollo y uso de la inteligencia artificial bajo un enfoque de seguridad, ética y derechos humanos. Define su finalidad como promover el uso responsable, transparente y sostenible de la IA (arts. 1 y 2) y se aplica a entidades públicas, empresas estatales y organizaciones privadas vinculadas al ecosistema digital (art. 3). Introduce principios rectores como no discriminación, privacidad de los datos personales, protección de derechos fundamentales, seguridad, proporcionalidad y fiabilidad, entre otros (art. 7). Clasifica los sistemas en uso indebido, como la manipulación de personas, vigilancia masiva, inferencia de datos sensibles, predicción de delitos o identificación biométrica en tiempo real sin base legal (art. 23), y en riesgo alto, aplicable a ámbitos como salud, educación, infraestructura crítica, selección laboral y programas sociales (art. 24), imponiendo obligaciones reforzadas de explicabilidad, análisis de impacto y mitigación de riesgos (arts. 25 al 30). La PCM–SGTD es la autoridad nacional encargada de dirigir, supervisar y emitir lineamientos sobre IA (art. 8). Tanto el sector público como el privado deben adoptar estándares técnicos como la NTP-ISO/IEC 42001:2025, conformar equipos especializados y garantizar seguridad digital y transparencia (art. 28). Finalmente, el Reglamento implementa sistemas de supervisión, monitoreo y denuncias ciudadanas frente a usos indebidos (arts. 34 al 36), consolidando un marco que equilibra innovación con protección de derechos fundamentales.

2.3. Exposición de Motivos del Reglamento

Esta afirma que Perú requiere un marco definido para la regulación de la inteligencia artificial, no solo por sus beneficios para la innovación y el desarrollo, sino también por los riesgos que puede ocasionar en derechos fundamentales, privacidad, seguridad y la no discriminación. Justifica la adopción de un enfoque basado en riesgos, que distingue entre usos prohibidos y sistemas de riesgo alto que requieren mayores controles, así como la creación de un modelo de gobernanza liderado por la PCM–SGTD. También fundamenta la incorporación de estándares internacionales, mecanismos de transparencia, supervisión humana, auditorías, seguridad digital y herramientas que impulsen la innovación como sandboxes y laboratorios de IA. En conjunto, la Exposición sostiene que el Reglamento es necesario para garantizar un uso responsable, ético y seguro de la IA, alineado con estándares globales y orientado al bienestar y desarrollo sostenible del país.

2.4. Inteligencia artificial y tratamiento de datos personales

La inteligencia artificial (IA), según Albornoz (2021), “son sistemas diseñados por humanos que, a partir de datos, perciben su entorno, razonan y toman decisiones automatizadas para alcanzar un objetivo” (p. 215). Este proceso depende de grandes volúmenes de datos, convirtiendo los datos personales en un insumo clave. En este sentido, Chupillon y Vallejos (2018) definen los “datos personales como cualquier información que permita identificar a una persona, como nombre, dirección, huella digital, ADN, entre otros” (p. 74). La IA utiliza estos datos para clasificar, predecir y generar perfiles, lo que plantea riesgos para la privacidad. El tratamiento de datos personales se relaciona con el derecho fundamental a su protección, también conocido como autodeterminación informativa. Eguiguren (2015) sostiene que este derecho otorga al titular la facultad de decidir “quién, qué, cuándo y con qué motivo puede conocer los datos que a aquél están referidos” (p. 132). Sin embargo, este control se ve afectado en la práctica porque muchos sistemas de IA recopilan y procesan datos personales de manera continua, a gran escala y sin que las personas comprendan realmente cómo funciona ese proceso.

2.5. Riesgos específicos de la IA para la privacidad

La IA plantea riesgos significativos para la privacidad debido al tratamiento masivo, continuo y poco comprensible de los datos personales. Como advierte Muñoz (2017), “los riesgos para la seguridad e integridad de los datos se incrementan cuando estos son gestionados mediante una explosión de aplicaciones móviles que conectan a los usuarios con una compleja oferta de servicios, recursos y datos en la nube” (p. 12). Esta interconexión favorece la circulación constante de información personal y aumenta la exposición, el acceso no autorizado y el uso indebido de los datos.

Uno de los principales riesgos es la recolección masiva de información sin consentimiento real. El consentimiento para tal recolección es a menudo inexistente o forzado en situaciones legales, especialmente cuando se trata de vigilancia o de la recopilación de datos a través de tecnologías como el reconocimiento facial o las cámaras corporales (Mittelstadt et al., 2016). Esta ausencia de un consentimiento explícito se manifiesta particularmente problemática en tecnologías que operan de forma omnipresente y opaca.

Asimismo, la IA puede amplificar sesgos preexistentes presentes en los datos. Si los algoritmos se entrenan con datos sesgados o discriminatorios, pueden perpetuar o incluso exacerbar las desigualdades existentes, como el perfil racial o la discriminación basada en el género, la religión o la orientación sexual (Crawford, 2016). Esto no solo afecta la privacidad, sino también derechos fundamentales como la igualdad y la no discriminación.

Por último, la opacidad algorítmica constituye un riesgo adicional. Borgues y Pérez (2023) describen que:

El dilema ético de la transparencia y la explicabilidad se vuelve particularmente apremiante en el ámbito policial. Los algoritmos de IA pueden ser complejos y operar como “cajas negras”, haciendo difícil para las partes interesadas, incluidos los ciudadanos y los funcionarios judiciales, entender cómo se toman las decisiones. Esto afecta la capacidad de las personas para cuestionar o impugnar las decisiones que podrían tener un impacto significativo en sus vidas, como detenciones, cargos criminales o sentencias. (p. 147).

Esta falta de claridad dificulta que las personas comprendan y cuestionen las decisiones automatizadas que les afectan, lo que debilita la capacidad de ejercer derechos esenciales de protección de datos como el acceso o la impugnación de decisiones.

3. Marco normativo peruano de protección de datos personales

3.1. Ley 29733: alcances y limitaciones

La Ley de Protección de Datos Personales (en adelante, LPDP) consagra el derecho fundamental a la protección de datos personales (art. 1), en concordancia con el artículo 2, numeral 6, de la Constitución Política del Perú. Para garantizar dicho derecho, la LPDP establece un conjunto de principios rectores como legalidad, consentimiento, finalidad, proporcionalidad, calidad, seguridad y disposición de recurso que orientan todo tratamiento de datos personales (arts. 4 al 12). Asimismo, la norma exige que dicho tratamiento se realice sobre la base de un consentimiento previo, informado, expreso e inequívoco (art. 13.5), salvo las excepciones previstas en el artículo 14.

De esta manera, la LPDP establece una serie de reglas, requisitos y obligaciones mínimas que deberán cumplir los titulares de los bancos de datos al recopilar, registrar, almacenar, conservar, transferir, difundir y utilizar datos personales (Ministerio de Justicia y Derechos Humanos, 2014, p, 6). Sin embargo, a pesar de este marco general, la norma presenta una limitación sustancial: no incorpora disposiciones específicas para escenarios de tratamiento automatizado masivo ni para la elaboración de perfiles algorítmicos, lo que genera vacíos regulatorios frente a sistemas de inteligencia artificial que procesan grandes volúmenes de datos y adoptan decisiones automatizadas sin intervención humana.

3.2. Reglamento (DS 016-2024-JUS)

Para responder a los retos del entorno digital, el Reglamento amplía el alcance normativo al incorporar definiciones y obligaciones adicionales, incluyendo conceptos como elaboración de perfiles, evaluación de impacto en protección de datos, notificación obligatoria de incidentes de seguridad y la designación de un Oficial de Datos Personales (arts. 11, 34, 37 y 40). Asimismo, introduce el principio de responsabilidad proactiva, que exige a los responsables demostrar el cumplimiento normativo, y establece medidas técnicas específicas para entornos digitales (arts. 9, 46-48). Por otro lado, el enfoque sigue siendo predominantemente reactivo, no fija límites claros al uso de sistemas de inteligencia artificial ni define criterios vinculantes para la toma de decisiones automatizadas, lo que deja vacíos frente a riesgos como sesgos algorítmicos y falta de transparencia en procesos automatizados.

3.3. Autoridad Nacional de Protección de Datos Personales

La Autoridad Nacional de Protección de Datos Personales (arts. 32-33 de la LPDP; arts. 88-94 del Reglamento) cumple funciones normativas, fiscalizadoras y sancionadoras, incluyendo la potestad de imponer multas y dictar medidas correctivas para garantizar el cumplimiento del régimen de protección de datos. Sin embargo, su marco de actuación presenta una limitación crítica: carece de lineamientos técnicos vinculantes sobre el uso de inteligencia artificial, lo que restringe su capacidad para supervisar adecuadamente los riesgos derivados de modelos predictivos y sistemas autónomos, particularmente en aspectos esenciales como la transparencia algorítmica, la mitigación de sesgos y la explicabilidad de decisiones automatizadas.

Esta falta de lineamientos no solo limita la supervisión técnica, sino que también aumenta la exposición de los individuos a los impactos sociales y éticos de la IA. Como advierten Bas Graells et al. (2024):

Las amenazas recurrentes, como la manipulación, la desinformación y el desempoderamiento, evidencian los efectos más profundos que la IA puede generar en los individuos. Estas situaciones, que implican persuasión, engaño y alienación, destacan la importancia de abordar no solo los riesgos técnicos de la IA, sino también sus repercusiones éticas y sociales (p. 21).

En este contexto, fortalecer el rol de la Autoridad resulta indispensable para garantizar una protección efectiva en entornos digitales complejos, asegurando que la adopción de tecnologías de IA no comprometa los derechos fundamentales.

4. Derechos de los titulares en contextos de IA

4.1. Derecho de información (art. 18 Ley; art. 74 Reglamento)

Este derecho garantiza que el titular sea informado de forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad del tratamiento, los destinatarios, las transferencias y la existencia del banco de datos en el que se almacenarán sus datos personales. Sin embargo, su aplicación enfrenta desafíos significativos; la normativa no contempla la obligación de explicar los procesos algorítmicos ni las lógicas de decisión automatizada, lo que limita la transparencia y dificulta que el titular comprenda el alcance real y las implicancias del tratamiento de sus datos en sistemas complejos.

4.2. Derecho al tratamiento objetivo (art. 23 LPDP; art. 87 Reglamento)

Este derecho prohíbe que el titular sea sometido a decisiones con efectos jurídicos o que lo afecten significativamente cuando se basen exclusivamente en un tratamiento automatizado de datos personales. Esta disposición presenta limitaciones importantes; la norma admite excepciones, como en procesos contractuales o de selección pública, y no establece garantías esenciales como la revisión humana obligatoria, la explicabilidad de los algoritmos ni mecanismos para impugnar decisiones automatizadas. Esta ausencia abre espacio para riesgos como sesgos algorítmicos, falta de transparencia y potencial discriminación en sistemas de IA.

4.3 Derecho ARCO (arts. 19-22 LPDP; arts. 75-86 Reglamento)

Estos derechos (acceso, rectificación, cancelación y oposición) buscan otorgar al titular control sobre sus datos personales. Sin embargo, su ejercicio se torna complejo en entornos de inteligencia artificial, donde se emplean datos inferidos o derivados que no siempre son visibles para el titular. Aunque el Reglamento introduce la portabilidad de datos (art. 76) como mecanismo adicional, persisten vacíos críticos: no se regula la eliminación de perfiles generados por algoritmos ni se garantiza la trazabilidad del uso de datos en procesos automatizados, lo que limita la efectividad real de estos derechos frente a sistemas de IA.

5. Conclusión

El análisis del marco normativo peruano evidencia avances significativos en la regulación de la inteligencia artificial. Sin embargo, persisten desafíos estructurales vinculados a la transparencia algorítmica, la mitigación de sesgos, la supervisión humana y la protección efectiva de los derechos fundamentales en entornos altamente automatizados. Ello coincide con lo señalado por Blázquez (2022), quien enfatiza que “las implicaciones del uso de las tecnologías emergentes [requieren] seguir muy de cerca las cuestiones técnicas que llevan aparejadas desde el inicio de su diseño. Solo de ese modo, conociendo su complejidad, aprehendiéndola, será posible promover y aplicar normas jurídicas que permitan que derechos como la privacidad o la toma de decisiones libre e informada se vean protegidos en un ámbito sanitario cada vez más digitalizado” (p. 263). Este enfoque resulta plenamente aplicable al contexto peruano; solo mediante un entendimiento profundo de la arquitectura tecnológica y sus riesgos será posible consolidar un sistema regulatorio que armonice innovación y tutela de derechos, garantizando que la IA se desarrolle respetando los principios constitucionales que rigen el Estado democrático de derecho.

Referencias bibliográficas

Albornoz, M. M. (2021). El titular de datos personales, parte débil en tiempos de auge de la Inteligencia Artificial. ¿Cómo fortalecer su posición? Revista Ius, 15(48), 209–242. https://doi.org/10.35487/rius.v15i48.2021.715

Bas Graells, G., Tinoco Devia, R., Salinas Leyva, C., & Sevilla Molina, J. (2024). Revisión sistemática de taxonomías de riesgos asociados a la Inteligencia Artificial. Analecta Política, 14(26), 1–25. https://doi.org/10.18566/apolit.v14n26.a08

Blázquez Ruiz, F. J. (2022). Riesgos para la privacidad en la aplicación de la inteligencia artificial al ámbito biosanitario: Implicaciones éticas y legales. Anales de la Cátedra Francisco Suárez, 56, 245–268. https://revistaseug.ugr.es/index.php/acfs/article/view/21677

Borges, M. T. H., & Pérez, P. J. B. (2023). Datos policiales e Inteligencia Artificial: Un equilibrio delicado entre la privacidad, la utilidad y la ética. Revista Canaria de Administración Pública, (Extraordinario), 143–175. https://doi.org/10.36151/RCAP.ext.6

Chupillón Monsalve, A. L., & Vallejos Huamán, L. E. (2018). Análisis doctrinal del llamado derecho al olvido dentro del ámbito jurídico tutelar peruano de protección de datos personales: Derechos ARCO. Universidad Peruana de Ciencias Aplicadas. http://hdl.handle.net/20.500.12423/1551

Congreso de la República del Perú. (2011). Ley N.º 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano.

Congreso de la República del Perú. (2024). Ley N.º 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país. Diario Oficial El Peruano.

Crawford, K. (2016). Can an algorithm be agonistic? Ten scenes from life in calculated publics. Science, Technology & Human Values, 41(1), 77–92. https://doi.org/10.1177/0162243915589635

Eguiguren Praeli, F. J. (2015). El derecho a la protección de los datos personales: Algunos temas relevantes de su regulación en el Perú. Themis Revista de Derecho, (67), 131–140. https://revistas.pucp.edu.pe/index.php/themis/article/view/14462

Martínez, R. (2017). Cuestiones de ética jurídica al abordar proyectos de Big Data: El contexto del Reglamento general de protección de datos. Dilemata, 24, 151–164. https://dilemata.net/revista/index.php/dilemata/article/view/412000098

Ministerio de Justicia y Derechos Humanos. (2024). Decreto Supremo N.º 016-2024-JUS, Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano.

Ministerio de Justicia y Derechos Humanos. (2014). El derecho fundamental a la protección de datos personales: Guía para el ciudadano. Autoridad Nacional de Protección de Datos Personales.

Muñoz, M. M. (2017). Privacidad y procesado automático de datos personales mediante aplicaciones y bots. Dilemata, 24, 1–23. https://dilemata.net/revista/index.php/dilemata/article/view/412000098

Mittelstadt, B., Allo, P., Taddeo, M., Wachter, S., & Floridi, L. (2016). The ethics of algorithms: Mapping the debate. Big Data & Society, 3(2), 1–21. https://doi.org/10.1177/2053951716679679

Presidencia del Consejo de Ministros – Secretaría de Gobierno y Transformación Digital. (2025). Decreto Supremo N.º 115-2025-PCM, Reglamento de la Ley N.º 31814. Diario Oficial El Peruano.

Presidencia del Consejo de Ministros – Secretaría de Gobierno y Transformación Digital. (2025). Exposición de motivos del Reglamento de la Ley N.º 31814. Diario Oficial El Peruano.

 

Artículos relacionados

Análisis a la sentencia del caso Keiko Fujimori

El delito de sicariato en la legislación peruana: Crónica de una muerte anunciada

La incapacidad moral permanente, una vez más

«Perú: Agonía y Resistencia» de Ricardo Falla y Gonzalo Gamio (2025)

Exceso de partidos políticos, fragmentación del espectro y dispersión electoral: el quid estaba en la...

La Ley de Amnistía y su defensa política desde el concepto de “daño colateral”: una...

Literatura y Derecho: préstamos y adquisiciones

Repaso jurisprudencial del derecho al plazo razonable y los efectos de su vulneración en el...

Trabajo infantil, informalidad y roles de género

De la ‘IA’ a la Abogacía: Algunas reflexiones sobre la Inteligencia Artificial y el Secreto...

Deja un comentario

Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente.

¿Quieres publicar en Pólemos? Envía tu artículo y revisa nuestras Políticas de Publicación antes de enviarlo.

 

    descargar políticas de publicación

    El Portal Jurídico-Interdisciplinario «Pólemos» es un espacio académico orientado al análisis de temas jurídicos y de actualidad. Nos distinguimos por tratar el Derecho desde un enfoque interdisciplinario, integrando conocimientos de distintas disciplinas para ofrecer una comprensión más integral y enriquecedora.

    Facebook X-twitter Youtube Linkedin Instagram Tumblr

    EQUIPO EDITORIAL

    Directora: Camila Alexandra Infante García

    Consejo Editorial:
    Marilyn Siguas Rivera
    Carlos Curotto Aristondo
    Gustavo Sausa Martínez
    Guadalupe Quinteros Guerra
    Daira Salcedo Amador

    Mariana Isabel Garcia Jiménez

    Sarah Michelle Chumpitaz Oliva

    Bryan Alexander Carrizales Quijandria

    SELECCIONADO POR EDITORES

    Protección de Datos Personales y IA: ¿Es suficiente la Ley 29733 para proteger...
    El ambiente y su protección en la denominada “Constitución ecológica” del sistema jurídico...
    Entre la protección y la incertidumbre: el alcance real de la Convención sobre...

    ÚLTIMOS ARTÍCULOS

    Protección de Datos Personales y IA: ¿Es suficiente la Ley 29733 para proteger los datos personales en contextos de IA?
    El ambiente y su protección en la denominada “Constitución ecológica” del sistema jurídico peruano
    Entre la protección y la incertidumbre: el alcance real de la Convención sobre los Derechos de las Personas con Discapacidad ante la Inteligencia Artificial
    Análisis a la sentencia del caso Keiko Fujimori