Si operas en Perú pero procesas datos en la nube europea o estadounidense, ya estás bajo el radar de GDPR. No es opcional: es la regla si tocas datos personales.

Base legal: consentimiento explícito o no hay juego

Para coaching con IA, la base más segura es el consentimiento explícito (Art. 6.1.a). Evita bases vagas como “interés legítimo” en datos sensibles.

Datos sensibles: trata todo como alto riesgo

Estados emocionales, salud mental, metas personales: trátalos como datos sensibles.
Minimiza retención: solo lo necesario y por tiempo definido.
Anonimiza cuando puedas (tokens en vez de texto libre para logs).

Transferencias internacionales sin dolor

Elige proveedores con SCC (Standard Contractual Clauses) y centros de datos en EU o regiones con adecuación.
Documenta qué dato viaja, a dónde y por qué. Sin ese mapa, no hay compliance.
Activa cifrado en tránsito (TLS 1.3) y en reposo (AES-256) con claves rotadas.

Derechos del usuario: hazlos usables

Acceso y exportación: botón para descargar historial en JSON/CSV.
Rectificación: permite editar o borrar mensajes que no quieran conservar.
Supresión: eliminación completa en menos de 30 días; confirma por correo.

Gobierno interno para dormir tranquilo

Registro de actividades de tratamiento (ROPA) simple y actualizado.
Evaluación de impacto (DPIA) si manejas salud mental o emociones.
Roles claros: quién puede ver datos y en qué circunstancias.

Checklist express para lanzar en Perú cumpliendo GDPR

Consentimiento explícito dentro de la app antes de guardar datos.
Política de privacidad clara y en español, con contactos del DPO.
Logs de acceso visibles para el usuario y auditables.
Proveedor cloud con SCC y cifrado habilitado.
Proceso de borrado documentado y medible (SLA).

Cumplir GDPR no es llenar documentos: es diseñar el producto para que la persona conserve el control. Eso también reduce tickets y mejora retención.

Coaching con IA y GDPR en Perú: cómo operar sin miedo a sanciones