1. ¿Qué se ha publicado?
El Decreto Legislativo N.° 1700 modifica la Ley N.° 30096 (Ley de Delitos Informáticos) e incorpora un nuevo tipo penal destinado a reforzar la protección de los datos personales frente a su comercio y circulación ilícita.
Con esta norma, el tratamiento indebido de datos personales deja de ser únicamente un asunto administrativo o sancionable por la autoridad de protección de datos, y pasa a contar con una tutela penal directa. Esta inclusión significa una respuesta a los índices de criminalidad cibernética que ha sido detectada por el Ministerio Público y la División de Alta Tecnología de la Policía Nacional del Perú.
2. Nuevo delito incorporado
Se incorpora el artículo 12-A, que tipifica el delito de adquisición, posesión y tráfico ilícito de datos informáticos.
El delito comprende datos informáticos en general, así como datos personales, credenciales de acceso y bases de datos personales.
La norma sanciona no solo la obtención ilegítima de la información, sino también las conductas posteriores de manejo y circulación de datos.
3. Conductas sancionadas
Incurre en el delito quien posee, compra, recibe, comercializa, vende, facilita, intercambia o trafica datos informáticos cuando conoce o debe presumir que estos fueron obtenidos:
- Sin el consentimiento del titular de los datos, o
- Mediante la vulneración de sistemas de seguridad, o
- A través de la comisión de un delito informático.
4. Régimen de sanciones
Tipo base:
- Pena privativa de libertad: 5 a 8 años
- Multa: 180 a 365 días-multa
Tipo agravado:
La pena se eleva hasta 10 años de prisión, además de inhabilitación, cuando:
- El agente actúa como integrante de una organización criminal;
- Se causa perjuicio patrimonial grave o se afecta a una pluralidad de personas; o
- La base de datos es procesada o custodiada por una entidad pública.
5. Supuestos excluidos de responsabilidad penal
No generan responsabilidad penal las conductas de adquisición, posesión, intercambio o tratamiento de datos informáticos cuando:
- Exista autorización expresa del titular, conforme a la Ley N.° 29733 (Ley de Protección de Datos Personales);
- Se actúe en cumplimiento de un mandato judicial o administrativo emitido conforme a ley; o
- Se trate del ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni comercialización indebida de la información.
6. Principales implicancias prácticas
- Se refuerza significativamente el riesgo penal asociado al manejo indebido de datos personales.
- La responsabilidad ya no se limita al autor del acceso ilegal, sino que se extiende a quienes participan en la cadena de circulación de datos.
- Se vuelve crítica la debida diligencia en la adquisición, recepción y transferencia de bases de datos personales.
- Resulta necesario fortalecer los controles internos y contractuales sobre proveedores, aliados y terceros que tratan información personal.
El Decreto Legislativo N.° 1700 cierra un vacío relevante en el sistema de protección de datos personales al reconocer que el mayor daño no ocurre solo en la filtración inicial, sino en la posterior circulación y comercialización de la información. La norma envía un mensaje claro, que la gestión de datos personales es hoy un asunto con impacto penal directo y debe ser abordado a nivel de alta dirección y órganos de decisión.
