Por Carlos Gomez de la Torre | Gerente Legal Corporativo - Oficial de Cumplimiento en Real Plaza
Mientras Europa consolida el RGPD y Estados Unidos fragmenta su regulación estado por estado, América Latina enfrenta una paradoja inquietante: marcos normativos de protección de datos que maduran aceleradamente junto a una brecha —cada vez mayor— de implementación que amenaza con volverlos letra muerta. Perú no es la excepción. La Ley 29733 entró en vigencia en 2011 y su nuevo reglamento (Decreto Supremo 016-2024-JUS) en marzo de 2025, y aun así el nivel de cumplimiento real sigue siendo, en el mejor de los casos, aspiracional. La pregunta no es si debemos cumplir, sino cómo podemos hacerlo con ayuda de la tecnología.
Desde esta perspectiva, la inteligencia artificial no es una amenaza para la privacidad de datos: bien implementada, la IA es nuestro mejor aliado. En un entorno donde el volumen de datos personales que procesan las empresas supera con creces la capacidad humana de auditarlos, la IA ofrece lo que el compliance necesita: velocidad, escala y trazabilidad. Los abogados deberíamos ver esto no como una cuestión tecnológica sino estratégica: quienes integren herramientas de IA en sus programas de cumplimiento obtendrán una ventaja competitiva, tendrán menor exposición regulatoria y una relación más sólida con la Autoridad Nacional de Protección de Datos Personales (ANPDP).
El marco peruano exige, entre otras obligaciones, el consentimiento informado, la atención de derechos ARCO y portabilidad, la adopción de medidas de seguridad y la gestión de transferencias internacionales. Cada una de estas obligaciones tiene un componente procedimental intensivo que hoy la mayoría de organizaciones gestiona manualmente. Los sistemas de IA aplicados al compliance permiten automatizar la detección y clasificación de datos personales dentro de repositorios corporativos, mapear flujos de tratamiento en tiempo real, generar alertas ante brechas o usos no autorizados, y documentar evidencia de cumplimiento de forma auditable.
Desde una perspectiva regulatoria comparada, Brasil con la Lei Geral de Proteção de Dados (Lei 3.709/2018), Colombia con la Ley Estatutaria de Protección de Datos Personales (Ley 1581 de 2012), Argentina en proceso de modernización de su Ley 25.326, Chile con la Ley de Protección y Tratamiento de Datos Personales (Ley 21.719 de 2024, que tendrá vigencia plena desde diciembre de 2026) y Perú con la Ley de Protección de Datos Personales (Ley 29733 de 2011) apuntan hacia una convergencia normativa regional. Convergencia que abre una oportunidad para desarrollar soluciones de IA entrenadas sobre estándares de la región, reduciendo la dependencia de herramientas diseñadas para el RGPD europeo, que no siempre son trasladables sin fricción jurídica.
El argumento más poderoso no es eficiencia: es responsabilidad. La ANPDP intensifica su actividad supervisora, las sanciones bajo la Ley 29733 alcanzan hasta 100 UIT, y la reputación corporativa hoy se construye —y destruye— en función del tratamiento ético de datos. El abogado corporativo que lidere la integración entre criterio jurídico y herramientas de IA no solo protege a su organización: redefine su rol dentro de ella. LATAM tiene la regulación, tiene el talento jurídico y tiene los datos. Lo que necesita es la decisión de hacer del cumplimiento normativo un sistema inteligente, no un archivo en PDF.