Inteligencia artificial y datos personales en empresa:
obligaciones legales y multas que tu directorio debe conocer en 2025–2026
Dos escenarios, seis obligaciones concretas y un cuadro comparado de sanciones bajo la Ley 29733 peruana, el DS 115-2025-PCM y el EU AI Act europeo.
¿Qué obligaciones legales genera usar ChatGPT, Claude u otra LLM con datos de clientes?
Cuando una empresa adopta una LLM de terceros, no está simplemente "usando un software". Legalmente, la empresa se convierte en lo que la normativa europea denomina un deployer —quien despliega el sistema de IA— y adquiere un conjunto específico de responsabilidades que no vienen en ningún manual de onboarding. Analizamos tres de las más relevantes y frecuentemente ignoradas.
① Obligación de transparencia: informar que hay IA detrás de la interacción
Tanto el derecho europeo como el peruano contemplan esta obligación de forma expresa desde 2025. 🇪🇺 UE El artículo 50 del EU AI Act (Reglamento UE 2024/1689) impone al deployer el deber de informar a las personas cuando están interactuando con un sistema de IA, salvo que ello resulte evidente por el contexto. 🇵🇪 Perú En el mismo sentido, el artículo 25.2 del D.S. 115-2025-PCM —el Reglamento de la Ley 31814, primer reglamento general de IA en América Latina, vigente desde enero de 2026— exige el etiquetado visible del sistema de IA cuando el producto o servicio interactúa con el usuario o impacta en decisiones que afectan sus derechos.
Si tu empresa tiene un chatbot de atención al cliente, un asistente de ventas o cualquier otra interfaz conversacional alimentada por una LLM, tus usuarios tienen el derecho legal de saber que están interactuando con un sistema de inteligencia artificial.
La única exención reconocida —tanto en el artículo 50 del EU AI Act como en el artículo 25.2 del DS 115-2025-PCM peruano— aplica cuando la IA apoya exclusivamente procesos administrativos internos, sin impacto directo en decisiones que afecten derechos o servicios a personas. En cuanto hay una persona al otro lado de la interacción, o en cuanto la salida del sistema influye en una decisión sobre esa persona, la obligación de transparencia se activa sin excepciones posibles.
② Obligación de revisar y firmar el contrato con el proveedor (DPA)
Cuando tu equipo copia datos de clientes en ChatGPT, Claude o cualquier otra LLM, esos datos salen de tu infraestructura y entran en la del proveedor. Esto no es un detalle técnico menor: es un acto jurídico de transferencia de datos personales a un tercero encargado del tratamiento. 🇪🇺 UE El artículo 28 del GDPR (Reglamento UE 2016/679) exige que antes de que esa transferencia ocurra exista un Data Processing Agreement (DPA) firmado con el proveedor, que especifique el objeto, la duración, la naturaleza y la finalidad del tratamiento. 🇵🇪 Perú El artículo 28 de la Ley 29733 establece la misma lógica: el encargado del tratamiento solo puede operar los datos para las finalidades pactadas contractualmente con el titular del banco de datos personales.
Muchos proveedores de LLM activan por defecto el uso de las conversaciones para mejorar sus modelos. Si tu empresa no desactivó esa opción en la configuración del proveedor y tus empleados están copiando datos de clientes en la plataforma, podrías estar realizando una cesión de datos personales a un tercero sin base legal y, adicionalmente, una transferencia internacional de datos a Estados Unidos sin los mecanismos jurídicos requeridos. 🇪🇺 UE Eso infringe el artículo 46 del GDPR. 🇵🇪 Perú Y el artículo 15 de la Ley 29733, que regula el flujo transfronterizo de datos personales.
③ Obligación de evaluar el impacto cuando el uso es de alto riesgo
Si la LLM se utiliza para apoyar decisiones sobre personas —scoring de clientes, análisis de riesgo crediticio, selección de candidatos, evaluaciones de desempeño, decisiones médicas—, el sistema puede clasificar como de alto riesgo. 🇪🇺 UE El Anexo III del EU AI Act lista las categorías de uso que generan esa clasificación. Una vez que el sistema cae en esa categoría, se activan los deberes del artículo 26 y del artículo 27 del EU AI Act. 🇵🇪 Perú En el ámbito peruano, el artículo 27.1 del DS 115-2025-PCM recoge los mismos principios de supervisión humana, no discriminación y ética algorítmica para quienes implementen IA con impacto en derechos fundamentales.
En la práctica, esto se traduce en tres compromisos concretos que deben cumplirse antes del despliegue, no después. El primero es una evaluación de impacto en derechos fundamentales —equivalente a la DPIA del 🇪🇺 UE artículo 35 del GDPR— que debe documentarse y conservarse por un mínimo de tres años. El segundo es garantizar una supervisión humana efectiva y trazable: debe existir una persona identificada, con capacidad real de detener o corregir el sistema cuando produzca resultados incorrectos o injustos; no alcanza con una política de papel. El tercero es mantener registros de logs de uso disponibles para auditorías regulatorias, porque si el regulador llama a la puerta y no hay trazabilidad, la presunción opera en contra de la empresa. 🇵🇪 Perú El DS 115-2025-PCM exige expresamente esta trazabilidad en su artículo 29 para sistemas de riesgo alto.
¿Qué obligaciones existen si tu empresa entrena modelos de machine learning con datos de clientes?
Cuando la empresa deja de ser usuaria de IA de terceros y empieza a entrenar sus propios modelos, entra en una categoría regulatoria cualitativamente distinta. Pasa de deployer a potencial proveedor de un sistema de IA. El nivel de diligencia exigido es mayor, el escrutinio regulatorio es más intenso y las consecuencias de un error son sustancialmente más caras.
① Obligación de contar con consentimiento o base legal específica para el entrenamiento
Este es el punto donde más empresas fallan y donde los reguladores europeos han sido más activos en los últimos dos años. El principio central es el mismo en ambos sistemas normativos: entrenar un modelo de IA con datos de clientes es una finalidad de tratamiento distinta y autónoma respecto a la finalidad para la que esos datos fueron originalmente recopilados. Eso exige, salvo excepción expresa, una nueva base legal. 🇪🇺 UE El artículo 6 del GDPR exige identificar una base legal válida —consentimiento explícito, interés legítimo debidamente documentado, o ejecución de contrato— para cada finalidad de tratamiento de datos personales. 🇵🇪 Perú El artículo 28.1 de la Ley 29733 es igualmente claro: el tratamiento requiere consentimiento informado, expreso e inequívoco, o una habilitación legal expresa. No basta que el cliente haya firmado unos términos generales si el entrenamiento de modelos de IA no estaba explícitamente contemplado en ellos al momento de la firma.
🇪🇺 UE En diciembre de 2024, el Garante italiano multó a OpenAI con 15 millones de euros por no identificar base legal para entrenar ChatGPT antes de su lanzamiento, en infracción de los artículos 5, 6, 12, 13 y 25 del GDPR. El Comité Europeo de Protección de Datos (EDPB) reafirmó en su Opinión 28/2024 que la mera disponibilidad pública de los datos no constituye base legal suficiente para tratarlos con fines de entrenamiento de IA. La CNIL francesa llegó a la misma conclusión al multar a Clearview AI con 20 millones de euros en 2022. En todos estos casos el argumento de la empresa era que los datos "ya estaban en internet" o que los usuarios "habían aceptado los términos generales". No funcionó.
② Obligación de gobernanza de datos y calidad del dataset de entrenamiento
Esta es la obligación menos conocida en el ámbito empresarial latinoamericano y, al mismo tiempo, una de las de mayor impacto práctico. 🇪🇺 UE El artículo 10 del EU AI Act exige que los sistemas de IA de alto riesgo se desarrollen con prácticas sólidas de gobernanza de datos. Eso tiene un contenido concreto: hay que tener claro de dónde vienen los datos y por qué se seleccionaron, hay que detectar los sesgos que puedan introducir antes de que el modelo los aprenda, y hay que proteger la identidad de las personas en la medida en que la técnica lo permita. 🇵🇪 Perú El artículo 27.1.d del DS 115-2025-PCM recoge el mismo principio con lenguaje peruano: los desarrolladores e implementadores de IA están obligados a adoptar las mejores prácticas disponibles para identificar y minimizar los sesgos algorítmicos. A eso se suma el principio de privacidad por diseño del artículo 25 del GDPR, que obliga a incorporar la protección de datos desde la fase de diseño del sistema, no como parche posterior.
El riesgo de ignorar esta obligación no es solo regulatorio. Un modelo entrenado con datos sesgados —por ejemplo, con patrones históricos que penalizan a mujeres, a ciertas zonas geográficas o a determinados niveles socioeconómicos— produce resultados injustos de forma sistemática. Si ese modelo luego apoya decisiones sobre personas, la empresa puede estar infringiendo el EU AI Act y el GDPR al mismo tiempo, con sanciones que se acumulan en ambos regímenes.
③ Obligación de inscribir el banco de datos y registrar el sistema de IA
🇵🇪 Perú Un dataset de entrenamiento que contiene datos personales es un banco de datos personales en los términos de la Ley 29733. Como tal, debe inscribirse en el Registro Nacional de Protección de Datos Personales administrado por la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos. No hacerlo —aun cuando la empresa conozca la obligación— es una infracción grave tipificada de forma expresa en el artículo 38 de la Ley 29733. Además, desde el 30 de noviembre de 2025, las grandes empresas peruanas que tratan datos de forma intensiva deben contar con un Oficial de Datos Personales (ODP) designado formalmente. 🇪🇺 UE Si el sistema de IA resultante es de alto riesgo conforme al Anexo III del EU AI Act, debe registrarse en la base de datos EU de la Comisión Europea antes de su comercialización o puesta en producción, conforme al artículo 49 del EU AI Act. El registro no es un trámite diferible: es una condición previa para operar legalmente en el mercado europeo.
Antes de lanzar cualquier solución de IA que involucre datos de personas, hazte estas tres preguntas: (1) ¿Tenemos base legal documentada y específica para este tratamiento, distinta de la base legal del servicio original? (2) ¿Hemos informado a los titulares de los datos y firmado los contratos de encargo de tratamiento con los proveedores tecnológicos? (3) ¿Está el banco de datos inscrito ante el MINJUSDH y hemos evaluado formalmente el nivel de riesgo del sistema conforme al DS 115-2025-PCM? Si la respuesta a cualquiera de las tres es "no" o "no sé", la empresa tiene trabajo regulatorio urgente por hacer.
Multas por violación de datos en Perú y en la Unión Europea: cuadro comparado
La brecha entre lo que hacen las empresas y lo que exige la ley es enorme, y los reguladores están comenzando a actuar con contundencia. A continuación, el cuadro comparado de sanciones aplicables en cada régimen:
| Nivel | 🇵🇪 Perú — Ley 29733 (Arts. 38–39) | 🇪🇺 UE — GDPR (Art. 83) | 🇪🇺 UE — EU AI Act (Art. 99) |
|---|---|---|---|
| Leve | 0.5 – 5 UIT S/ 2,675 – S/ 26,750 |
Hasta €10M o 2% facturación | Hasta €7.5M o 1% facturación |
| Grave | 5 – 50 UIT hasta S/ 267,500 |
Hasta €20M o 4% facturación | Hasta €15M o 3% facturación |
| Muy grave | 50 – 100 UIT hasta S/ 535,000 |
Hasta €20M o 4% facturación | Hasta €35M o 7% facturación global |
* 1 UIT 2025 = S/ 5,350. La multa peruana no puede exceder el 10% de los ingresos brutos anuales del infractor (Art. 39, Ley 29733). Las multas europeas se calculan sobre la facturación global del grupo empresarial, no de la filial local. El GDPR y el EU AI Act son acumulables entre sí y con sanciones penales e indemnizaciones civiles. Una empresa peruana que trate datos de ciudadanos europeos queda sujeta al GDPR por vía extraterritorial (Art. 3 GDPR).
Los casos que marcaron la regulación actual
El Garante italiano multó a OpenAI por no identificar base legal para entrenar ChatGPT ni realizar una DPIA antes del lanzamiento. Infracciones de los artículos 5, 6, 12, 13 y 25 del GDPR. OpenAI apeló la decisión. El caso estableció que la ausencia de base legal previa al lanzamiento es una infracción autónoma y sancionable.
La CNIL sancionó a Clearview AI por hacer scraping masivo de imágenes públicas sin base legal bajo el artículo 6 del GDPR para entrenar su modelo de reconocimiento facial. El caso sentó jurisprudencia de referencia: la disponibilidad pública de datos no equivale a autorización para tratarlos con fines de IA.
Lo que más consultan las empresas sobre IA y datos personales en Perú
El uso de ChatGPT u otra LLM con datos de clientes sin cumplir las obligaciones de la Ley 29733 y el DS 115-2025-PCM puede generar tres tipos de consecuencias acumulables: (1) multa administrativa de la ANPDP de hasta 100 UIT (S/ 535,000), sin perjuicio del 10% del límite sobre ingresos brutos anuales; (2) responsabilidad civil por daños y perjuicios frente a los titulares afectados; y (3) eventual responsabilidad penal bajo la Ley de Delitos Informáticos si se produjo acceso no autorizado o vulneración de datos sensibles. Las tres vías son independientes y pueden activarse simultáneamente.
Sí, el EU AI Act aplica extraterritorialmente de forma similar al GDPR. Conforme a su artículo 2, el reglamento se aplica a los proveedores que comercialicen o pongan en servicio sistemas de IA en el mercado de la Unión Europea, y a los deployers establecidos en la UE. Pero también se extiende a situaciones en que los resultados de un sistema de IA son utilizados en la UE, aunque el sistema esté operado desde fuera. Una empresa peruana que ofrezca servicios digitales a ciudadanos europeos, o cuyos sistemas de IA produzcan efectos sobre personas en la UE, queda sujeta a las obligaciones del EU AI Act incluso sin tener filial europea.
La Ley 29733 (artículos 38 y 39) establece tres niveles de infracción con sus correspondientes multas, calculadas en Unidades Impositivas Tributarias (1 UIT 2025 = S/ 5,350): infracciones leves, de 0.5 a 5 UIT (S/ 2,675 a S/ 26,750); infracciones graves, de 5 a 50 UIT (hasta S/ 267,500); e infracciones muy graves, de 50 a 100 UIT (hasta S/ 535,000). En ningún caso la multa puede superar el 10% de los ingresos brutos anuales del infractor. En 2025, el MINJUSDH aprobó la Metodología para el cálculo de multas (R.M. N° 0476-2025-JUS), lo que consolida una capacidad sancionadora efectiva de la ANPDP. Las sanciones administrativas no impiden la indemnización civil ni la acción penal.
Desde el 30 de noviembre de 2025, las grandes empresas peruanas están obligadas a designar un Oficial de Datos Personales (ODP) conforme al Reglamento de la Ley 29733 (DS 016-2024-JUS). Si la empresa usa IA que trata datos personales de forma intensiva o de alto riesgo, el ODP debe supervisar las evaluaciones de impacto, revisar los avisos de privacidad para incluir información sobre el uso de IA, y garantizar que las decisiones automatizadas sean auditables y explicables. Para las pymes, la obligación opera con plazos diferenciados. La omisión de esta designación es, en sí misma, una infracción sancionable por la ANPDP.
Referencias normativas
- EU AI Act Explorer — Reglamento (UE) 2024/1689 Arts. 2, 5, 10, 26, 27, 49, 50, 99 · Anexo III · En vigor desde agosto 2024
- GDPR — Reglamento (UE) 2016/679 Arts. 3, 5, 6, 13, 25, 28, 35, 46, 83
- 🇵🇪 Ley N° 29733 — Ley de Protección de Datos Personales del Perú Arts. 8, 15, 28, 38, 39, 40
- 🇵🇪 D.S. 115-2025-PCM — Reglamento de la Ley 31814 (Ley de IA del Perú) Arts. 25, 26, 27, 28 · Primer reglamento general de IA en América Latina · Vigente desde enero 2026
- EDPB Opinión 28/2024 sobre modelos de IA y GDPR Anonimización, interés legítimo y consecuencias del tratamiento ilícito en entrenamiento de IA
- CNIL Guidance (junio 2025) — Base legal para entrenamiento de IA Interés legítimo bajo Art. 6(1)(f) GDPR para entrenamiento con datos públicos · Condiciones y salvaguardas
