El Poder Ejecutivo dio un paso contra la creciente comercialización ilegal de información digital obtenida sin consentimiento y su uso para fines ilícitos: creó el delito de adquisición, posesión y tráfico ilícito de datos informáticos.
La avenida Inca Garcilaso de la Vega (Wilson) y sus alrededores en el centro de Lima es un emporio comercial de tecnología, software y otros bienes y servicios informáticos. Pero también es el reino de la venta ilegal de información personal y sensible: los vendedores ofrecen bases de datos (nombres, DNI, números de teléfono, direcciones e incluso información financiera o hasta del mismo Reniec) por precios que van desde S/ 50 hasta S/ 200.
Esta información -que es obtenida mediante métodos ilegales, hackeos o ataques informáticos- se utiliza para extorsiones, robos, fraudes, estafas cibernéticas.
El mercado negro de datos personales opera a plena luz del día, en espacios públicos y galerías informales. A pesar de los operativos policiales, los vendedores de datos robados casi nunca van a prisión amparados en la ausencia de un delito penal específico por vender datos. A lo mucho se aplicaban sanciones administrativas como multas o cierres temporales de locales.
Pero el Decreto Legislativo 1700, que modifica la Ley 30096, Ley de Delitos Informáticos (24 de enero de 2026), cambia el panorama.
“La protección de datos deja de ser solo un tema administrativo o de compliance. Pasa a tener impacto penal reforzado, con penas de hasta 10 años de prisión en ciertos supuestos”, comenta Oscar Montezuma Panez, especialista en asuntos públicos y regulatorios, a través de su cuenta de LinkedIn.
“Sanciona no solo al que roba datos, sino también a quien posee, compra, recibe, comercializa o facilita bases de datos obtenidas sin consentimiento o mediante brechas de seguridad”, agrega.
“El legislador ha dado un paso firme contra una práctica que todos conocemos pero que pocos veían penalmente clara: la compra, posesión y comercialización de datos personales obtenidos ilícitamente”, comenta Luis Arias, especialista en en Gobernanza Corporativa y Compliance, también en LinkedIn.
PENAS EFECTIVAS DE CÁRCEL
La norma, publicada en el Diario Oficial El Peruano (24 de enero), fue emitida en el marco de las facultades delegadas al Ejecutivo para legislar en materias de seguridad ciudadana y lucha contra la criminalidad organizada.
«Se ha incorporado el artículo 12-A a la Ley de Delitos Informáticos, tipificando como delito la adquisición, posesión y tráfico ilícito de datos informáticos, incluyendo credenciales de acceso y bases de datos personales», explica el Estudio Rubio, Leguía, Normand, en su cuenta de LinkedIn.
A partir de ahora, no solo es delito “hackear”, sino también comprar, recibir, vender, intercambiar o facilitar datos cuando se conoce o se debe presumir que fueron obtenidos sin consentimiento, mediante vulneración de sistemas de seguridad o a través de otro delito informático, agrega.
El nuevo artículo 12-A de la Ley de Delitos Informáticos establece un régimen de sanciones que varía según la gravedad del caso:
- Pena básica: de 5 a 8 años de prisión y 180 a 365 días-multa para quienes realicen estas conductas ilícitas.
- Pena agravada: de 8 a 10 años de prisión, además de inhabilitación, cuando el delito sea cometido como integrante de una organización criminal, cause perjuicio patrimonial grave o afecte a una pluralidad de personas, o cuando los datos afectados sean de una entidad pública.
Pero hay excepciones. «Queda exceptuada de responsabilidad penal (…) cuando estas conductas se realicen con autorización expresa del titular, conforme a la Ley Nº 29733, Ley de Protección de Datos Personales, en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni de comercialización indebida de la información”, establece la norma.
UN ESCENARIO DE RIESGOS PARA LAS EMPRESAS
Esta modificación amplía de forma significativa el riesgo penal para empresas, directivos y colaboradores que interactúan con datos de origen ilícito, incluso sin haber participado en el ataque informático original, advierte el Estudio Rubio, Leguía, Normand.
El estándar de responsabilidad incluye el “deber de presumir”, lo que eleva las exigencias de debida diligencia, trazabilidad del origen de los datos y controles internos en procesos como compra o cesión de bases de datos, intercambio de información con terceros y uso de credenciales, accesos o información sensible.
«La gestión de datos deja de ser solo un tema de privacidad y pasa a ser un riesgo penal directo. Es momento de reforzar el compliance digital, políticas de datos y controles con terceros», agrega el estudio de abogados.
En medio de este escenario quedan dos preguntas: ¿Se acabará la venta ilegal de bases de datos en la avenida Wilson? ¿Los hackers dejarán de robar información para luego venderla?
«El verdadero reto será operativo. En el mundo de la ciberseguridad, rastrear la trazabilidad de un dato filtrado y atribuir responsabilidades requiere capacidades de peritaje forense muy avanzadas. ¿Está nuestro sistema de justicia preparado para interpretar evidencia digital compleja sin generar falsos positivos que afecten a organizaciones legítimas?», advierte Alfredo Alva Lizárraga, experto en ciberseguridad, desde LinkedIn.
INFORMACIÓN ADICIONAL
¿Qué hacen los cibercriminales con los datos personales que sustraen?
Ransomware, infostealers y data leaks: cada vez más profesionalizados y sofisticados en Perú