elmalmenor.com [OPERATIONAL] 140,000 users · last incident: 0 days
vittasami.com [OPERATIONAL] multi-tenant · 4 países
suit.pe [OPERATIONAL] SUNAT-integrated · 99.9% uptime
intinovalabs.com [ACCEPTING CLIENTS] 20 auditorías disponibles
elmalmenor.com [OPERATIONAL] 140,000 users · last incident: 0 days
vittasami.com [OPERATIONAL] multi-tenant · 4 países
suit.pe [OPERATIONAL] SUNAT-integrated · 99.9% uptime
intinovalabs.com [ACCEPTING CLIENTS] 20 auditorías disponibles
CUMPLIMIENTO NTP-ISO/IEC 42001 Y LEY 31814 · NUEVO

Cumplimiento de la regulación peruana de IA, implementado por gente que construye IA.

La Estrategia Nacional de IA 2026-2030, la Ley Nº 31814 y su Reglamento (DS Nº 115-2025-PCM) ya están vigentes. La NTP-ISO/IEC 42001:2025 es el estándar técnico exigido. Nosotros traducimos la norma en cambios concretos en tu código, tu infraestructura y tus procesos; no en documentos que nadie lee.

Solicita un diagnóstico · S/ 1,490
Diagnóstico · Primeras 10 empresas
Ver marco normativo →
RESUMEN DEL SERVICIO

Servicio de cumplimiento de la regulación peruana de IA implementado por ingenieros, no por consultores legales. Diagnóstico, implementación técnica y acompañamiento a certificación bajo NTP-ISO/IEC 42001.

PARA QUIÉN ES ESTE SERVICIO

¿Para quién es este servicio?

match_01
Empresas que ya operan en Perú con IA en producción y quieren adelantarse a la regulación.
match_02
Proveedores de tecnología que venden o quieren vender al sector público peruano.
match_03
Empresas extranjeras (LATAM, US, Europa) que operan en Perú o usan datos peruanos.
match_04
Empresas en proceso de certificación ISO 27001 o ISO 9001 que quieren agregar 42001.
FASES Y ENTREGABLES

Fases del servicio

[FASE_01] · S/ 1,490 · 2 semanas

Diagnóstico técnico de cumplimiento

Inventario de tus sistemas de IA y clasificación de riesgo. Evaluación contra los 32 controles de la NTP-ISO/IEC 42001. Plan de acción priorizado en 3 fases.

incluye
  • Clasificación según el Artículo 6 del Reglamento
  • Identificación de gaps técnicos
  • Plan priorizado con tiempos y costos
  • Reunión de presentación con tu equipo (90 min)
[FASE_02] · Desde S/ 28,000 · 4 a 16 semanas

Implementación técnica

Modificación de código, arquitectura y procesos para cumplir con los gaps identificados. Documentación técnica auditable. Capacitación a tu equipo.

incluye
  • Versionado de modelos, logging estructurado
  • Endpoints de explicabilidad y supervisión humana
  • Pipelines de monitoreo continuo (drift, equidad)
  • Model cards, datasheets, evaluaciones de impacto
  • Capacitación técnica + compliance (8h)
[FASE_03] · Desde S/ 12,000 · 4 a 8 semanas

Acompañamiento a certificación

Preparación del expediente, conexión con organismos acreditados, simulacro de auditoría, acompañamiento durante la auditoría real, respuesta a hallazgos no críticos.

incluye
  • Conexión con organismos acreditados
  • Simulacro de auditoría con tu equipo
  • Respuesta a hallazgos no críticos
  • Garantía: si no certificas por nuestra causa, no cobramos esta fase

duración: Diagnóstico: 2 semanas · Ciclo completo a certificación: 4 a 12 meses

Por qué esto es urgente ahora

El 10 de abril de 2026 la Presidencia del Consejo de Ministros aprobó la Estrategia Nacional de Inteligencia Artificial 2026-2030. No es una declaración de intenciones: es un instrumento de gobierno con obligaciones específicas, plazos por año, indicadores numéricos y entidades responsables nombradas.

Si vendes al Estado o quieres venderle

La NTP-ISO/IEC 42001 es obligatoria para entidades públicas que usen IA. La Estrategia oficial proyecta 80 entidades implementándola al 2030. Sus procesos de contratación van a empezar a exigir esta norma (o equivalente demostrable) a sus proveedores tecnológicos a partir de 2027.

Si operas en un sector regulado (banca, seguros, salud, telecom, fintech)

Las superintendencias y reguladores sectoriales en LATAM están alineándose con UNESCO y OCDE. La Autoridad Nacional de Protección de Datos Personales (MINJUSDH) ya tiene competencia para fiscalizar sistemas de IA que traten datos personales; sin certificación, los hallazgos se acumulan.

Si tu sistema de IA toma decisiones que afectan personas

Si clasifica créditos, prioriza atención médica, filtra postulantes, o automatiza decisiones legales, es sistema de “alto riesgo” según el Artículo 30 del Reglamento de la Ley Nº 31814. Esto exige evaluación de impacto formal antes del despliegue, supervisión humana documentada, trazabilidad y auditorías periódicas.

Si nada de lo anterior aplica hoy, pero tienes IA en producción

Aplicará pronto. Las normas técnicas peruanas que se van a publicar entre 2026 y 2028 (NTP-ISO/IEC 38507 sobre gobernanza, 23894 sobre gestión de riesgos, 42005 sobre evaluación de impacto, 42006 sobre auditoría) van a definir el estándar de cuidado esperado de cualquier empresa que use IA en serio. El que no se prepara hoy paga doble en 18 meses.

Qué exige la norma, traducido a lenguaje técnico real

La NTP-ISO/IEC 42001:2025 no es un documento de buenas intenciones. Exige cosas concretas que un equipo de ingeniería tiene que implementar. Las más críticas:

Gobernanza del ciclo de vida del sistema de IA

Documentación de cómo se entrenó el modelo, con qué datos, qué versiones existen, quién aprobó cada cambio. Si no tienes versionado de modelos y data lineage, no cumples.

Evaluación de impacto antes del despliegue

Para sistemas de alto riesgo, análisis formal de qué grupos de personas pueden ser afectados negativamente, qué sesgos tiene el modelo, qué métricas de equidad se van a monitorear en producción.

Supervisión humana significativa

Toda decisión automatizada que afecta a una persona tiene que tener un punto humano de revisión, apelación o reversión. Y eso se documenta.

Transparencia y explicabilidad

La persona afectada por una decisión de IA tiene derecho a saber que fue una IA, qué factores pesaron, y cómo apelar. Esto se traduce en endpoints, logs, y UX específicos en tu producto.

Gestión de riesgos continua

No es una evaluación al inicio y nunca más. Es un sistema vivo de monitoreo de drift, de degradación de performance, de incidentes éticos.

Trazabilidad y auditoría

Toda inferencia importante tiene que poder reconstruirse: qué versión del modelo, qué inputs, qué output, qué decisión tomó la persona después. Sin logs estructurados específicos, no se puede.

Si esta lista te parece familiar, es porque es ingeniería de software bien hecha; solo que ahora tiene fuerza normativa.

Por qué nosotros y no una consultora tradicional

Las consultoras tradicionales (Big 4, integradoras grandes) van a ofrecer este servicio. Algunas ya lo están armando. Hay una diferencia que importa:

Ellos venden cumplimiento como producto legal-administrativo. Llegan con abogados y consultores de procesos. Te entregan políticas, manuales, matrices de riesgo en Excel, y plantillas Word. Cuando llega la auditoría técnica real (la que mira tu código y tu infraestructura, no tus PDFs), descubres que la implementación falta.

Nosotros vendemos cumplimiento como ingeniería. Construimos sistemas de IA en producción todos los días. ElMalMenor, VittaSami y Suit.pe son productos reales operando. Sabemos cómo se ve el versionado de modelos en código, cómo se implementa logging estructurado para trazabilidad, cómo se monta un pipeline de monitoreo de drift sin paralizar producción. Los documentos los escribimos al final, después de que el sistema realmente cumple.

Resultado práctico: en una auditoría de NTP-ISO/IEC 42001, lo que auditan no son tus PDFs, sino tus sistemas. Pasa el que tiene la implementación, no el que tiene el manual más bonito.

Casos de aplicación frecuentes

Estos son los escenarios concretos donde recibimos consultas. Si te suena familiar alguno, probablemente tengas una brecha de cumplimiento que aún no es visible:

  • “Tenemos un modelo de scoring crediticio o de aceptación de pólizas en producción y no sabemos qué versión está corriendo realmente.” Falla de gobernanza del ciclo de vida. Es uno de los hallazgos más comunes en auditorías iniciales.
  • “Nuestro chatbot de atención al cliente usa GPT-4 / Claude / Gemini y no logueamos las conversaciones de forma estructurada.” Falla de trazabilidad. Si un cliente reclama una respuesta dañina o discriminatoria, no puedes reconstruir qué pasó.
  • “Tenemos un agente de IA tomando decisiones autónomas y nadie sabe cómo se entrenó el modelo base ni qué datos usa el sistema RAG.” Falla de transparencia y de gestión de datos. Crítico si tu sector cae bajo “alto riesgo”.
  • “Compramos una solución de IA a un proveedor extranjero y la integramos. ¿Eso me hace responsable?” Sí. La responsabilidad por el sistema en producción es del operador, no del fabricante. Necesitas due diligence técnico del proveedor y mecanismos de control internos.
  • “Queremos vender al MINSA, MINEDU o gobierno regional pero nunca pasamos auditoría técnica de IA.” Te preparamos para que el primer concurso al que postules ya tengas el expediente listo.

Marco normativo de referencia {#marco-normativo}

Para que sepas exactamente con qué trabajamos. Estos son los instrumentos que te aplican o te van a aplicar:

  • Ley Nº 31814 — Ley que promueve el uso de la IA en favor del desarrollo económico y social del país
  • DS Nº 115-2025-PCM — Reglamento de la Ley de IA
  • DS firmado el 10/04/2026 (PCM) — Estrategia Nacional de Inteligencia Artificial 2026-2030
  • NTP-ISO/IEC 42001:2025 — Sistema de Gestión de IA (estándar técnico principal)
  • NTP-ISO/IEC 38507 — Gobernanza de TI: implicaciones de IA (en aprobación)
  • NTP-ISO/IEC 23894 — Gestión de riesgos en IA (en aprobación)
  • NTP-ISO/IEC 42005 — Evaluación de impacto de sistemas de IA (en aprobación)
  • NTP-ISO/IEC 42006 — Requisitos para auditoría y certificación de sistemas de gestión de IA (en aprobación)
  • Ley Nº 29733 — Protección de datos personales (aplicable a sistemas de IA que traten datos personales)
  • DU Nº 007-2020 — Marco de Confianza Digital
  • DL Nº 1412 — Ley de Gobierno Digital

Glosario rápido

  • ENIA — Estrategia Nacional de Inteligencia Artificial 2026-2030 (aprobada por la Presidencia del Consejo de Ministros, 10 abril 2026).
  • NTP-ISO/IEC 42001 — Norma Técnica Peruana que adopta el estándar internacional ISO/IEC 42001 sobre Sistemas de Gestión de Inteligencia Artificial.
  • ANPDP — Autoridad Nacional de Protección de Datos Personales, dentro del Ministerio de Justicia y Derechos Humanos.
  • INACAL — Instituto Nacional de Calidad, organismo técnico que aprueba las Normas Técnicas Peruanas.
  • Sistema de “alto riesgo” — categoría definida en el Artículo 6 del Reglamento de la Ley Nº 31814 para sistemas de IA que afectan derechos fundamentales (salud, justicia, decisiones automatizadas críticas).
  • Evaluación de impacto — análisis formal de los efectos de un sistema de IA sobre personas, exigido para sistemas de alto riesgo antes del despliegue.
PREGUNTAS FRECUENTES

Preguntas frecuentes

¿Esta norma me aplica si mi empresa es privada y no le vendo al Estado?
Si tienes IA en producción que afecta decisiones sobre personas, aplica de facto en sectores regulados (financiero, salud, seguros, telecom). En sectores no regulados, la adopción es voluntaria pero rápidamente se vuelve estándar de mercado y exigencia de tus propios clientes.
¿Cuánto tiempo toma implementar todo desde cero?
Para una empresa con 1-3 sistemas de IA en producción y arquitectura razonable: 4 a 6 meses entre diagnóstico, implementación y certificación. Para empresas con muchos sistemas o arquitectura compleja: 8 a 12 meses.
¿La certificación es un trámite o una auditoría real?
Es una auditoría real, técnica, ejecutada por un organismo acreditado independiente. No es un sello que se compra. Pueden encontrar no conformidades. Por eso nuestra Fase 3 incluye simulacro y respuesta a hallazgos.
¿Puedo certificarme solo en una parte de mi empresa?
Sí. La NTP-ISO/IEC 42001 permite definir el alcance. Es común empezar certificando un solo sistema o una sola unidad de negocio antes de extender al resto. Lo recomendamos especialmente para empresas grandes.
¿La certificación expira?
Sí. Las certificaciones ISO se mantienen con auditorías de seguimiento anuales y recertificación cada 3 años.
¿Cuál es la diferencia entre cumplir la Ley Nº 31814 y certificarse en NTP-ISO/IEC 42001?
La Ley es de cumplimiento obligatorio (te aplica te certifiques o no). La NTP-ISO/IEC 42001 es la forma estandarizada y demostrable de cumplirla. Puedes cumplir la Ley sin certificación, pero no podrás demostrarlo de forma estandarizada ante un cliente, regulador o auditor.
¿Qué pasa si la regulación cambia durante mi proceso de implementación?
Es muy probable que cambie en detalles, no en sustancia. La estructura de la NTP-ISO/IEC 42001 es estable y derivada de marcos internacionales (UNESCO, OCDE) que no van a cambiar. Cualquier ajuste local lo absorbemos sin costo durante el proceso si nos contratas las tres fases.
¿Trabajan con empresas fuera de Perú que operan en mercado peruano?
Sí. Empresas de Chile, Colombia, México y España nos consultan porque la NTP-ISO/IEC 42001 está alineada con estándares internacionales y el Convenio Marco del Consejo de Europa sobre IA. La implementación es transferible a otros mercados de LATAM.
¿Cómo se compara este servicio con una auditoría de Big 4?
Las Big 4 tienen reputación de marca y son la opción segura para empresas grandes con áreas de compliance maduras. Nosotros somos más rápidos, más técnicos y más baratos, y nuestra implementación pasa auditoría externa porque está hecha por ingenieros, no diseñada en PowerPoint. Para empresas medianas y para áreas técnicas que ya tienen claro qué necesitan, somos la mejor opción.

¿Empezamos?

La Estrategia Nacional de IA 2026-2030, la Ley Nº 31814 y su Reglamento (DS Nº 115-2025-PCM) ya están vigentes. La NTP-ISO/IEC 42001:2025 es el estándar técnico exigido. Nosotros traducimos la norma en cambios concretos en tu código, tu infraestructura y tus procesos; no en documentos que nadie lee.

Desde S/ 1,490
Diagnóstico · Primeras 10 empresas
Solicita un diagnóstico · S/ 1,490