Escribe: Alejandro Rafael Morales Cáceres, Socio del Área de Derecho y Nuevas Tecnologías de TyTL Abogados
El sábado 24 de enero se publicó el Decreto Legislativo N.º 1700, que modifica la Ley de Delitos Informáticos (Ley N.º 30096) e incorpora un nuevo delito autónomo de adquisición, posesión y tráfico ilícito de datos informáticos. Se trata de una reforma clave, que responde a la evolución de la criminalidad digital y tiene un impacto inmediato en la forma en que las organizaciones gestionan los datos personales.
A diferencia del artículo 154-A del Código Penal, que se centra en la comercialización o venta de información no pública, el nuevo tipo penal amplía de manera decisiva el reproche penal. El foco ya no está únicamente en quien vende datos, sino también en quien los adquiere, posee, recibe, intercambia, facilita o utiliza, cuando conoce o debía presumir que estos provienen de una brecha de seguridad, de un acceso indebido o de un delito informático previo.
Con ello, la protección penal se desplaza desde la mera intimidad como contenido hacia la autodeterminación informativa y la confianza digital, atacando directamente la economía secundaria del dato ilícito, incluso cuando el agente no participó en el hackeo original.
LEA TAMBIÉN: Ciberataques y su impacto financiero: 6 de cada 10 pymes podría cerrar
Este cambio no constituye un ajuste marginal. El legislador reconoce que el núcleo del delito informático contemporáneo ya no se agota en el acceso ilícito a sistemas, sino que reside en la economía ilegal de los datos, donde bases de información personal, credenciales de acceso y bancos de datos circulan, se compran y se venden como activos en mercados clandestinos.
Plataformas cerradas y canales en aplicaciones de mensajería como Telegram evidencian cómo datos de la Reniec, antecedentes penales, historiales médicos o contactos masivos se convierten en insumos para fraude, spam, extorsión o suplantación de identidad.
El nuevo artículo 12-A de la Ley de Delitos Informáticos desplaza el foco hacia toda la cadena económica del delito digital, sancionando no solo al autor del ataque inicial, sino también a quienes participan en etapas posteriores. Las penas previstas oscilan entre 5 y 8 años de prisión y pueden llegar hasta 10 años en casos de organización criminal, afectación masiva, perjuicio patrimonial grave o cuando los datos pertenecen a entidades públicas.
Desde la perspectiva empresarial, esta reforma marca un punto de quiebre. La gestión de datos deja de ser un asunto exclusivamente tecnológico o regulatorio y se convierte en una fuente directa de riesgo penal. La procedencia de la información, la trazabilidad de las bases de datos, los controles internos y las decisiones sobre el uso y tratamiento de datos adquieren una dimensión jurídica mucho más exigente.
La gestión de datos deja de ser un asunto exclusivamente tecnológico o regulatorio y se convierte en una fuente directa de riesgo penal. Foto: ¡Stock.
En este nuevo escenario, el Oficial de Datos Personales (ODP) o DPO asume un rol estratégico. Ya no basta con verificar el cumplimiento formal de políticas de privacidad. El DPO debe evaluar activamente el origen de los datos, asegurar su trazabilidad y revisar la gestión de terceros y cadenas de suministro de información. Además, debe integrar el tratamiento de datos en los mapas de riesgo penal, coordinando con las áreas legal, de compliance penal y de seguridad de la información.
LEA TAMBIÉN: La ciberseguridad enfrenta nuevos desafíos con la expansión de la inteligencia artificial, advierte Claro Perú
El mensaje para directorios, gerencias y áreas de cumplimiento es claro: en la economía de los datos, la omisión también genera responsabilidad. El nuevo Decreto Legislativo refuerza la necesidad de una gobernanza efectiva del dato, donde el Oficial de Datos Personales se consolida como una pieza clave no solo de compliance, sino de prevención penal y gestión estratégica del riesgo digital.
