Informe Legal

Convierten en delito la adquisición, posesión y tráfico ilícito de datos informáticos

02.02.26
Medida servirá para combatir la comercialización y circulación de información obtenida sin autorización que puede usarse para fraudes, suplantaciones y extorsiones, entre otros delitos; pero supondrá un riesgo para las empresas que adquieren bases de datos con fines comerciales o de marketing.

Álvaro Gálvez

El Decreto Legislativo n.°1700, publicado el 24 de enero de 2026, introduce una modificación relevante a la Ley n.°30096 – Ley de Delitos Informáticos al incorporar un nuevo tipo penal autónomo para sancionar la adquisición, posesión y tráfico ilícito de datos informáticos, incluyendo credenciales de acceso y bases de datos personales.

 

La medida responde a la creciente actividad ilegal de comercialización y circulación de información obtenida sin autorización, que incrementa el riesgo de fraudes, suplantaciones, extorsiones y afectaciones masivas a usuarios y organizaciones. En la exposición de motivos del decreto se enfatiza la necesidad de reforzar la seguridad y confianza digital y la tutela del derecho a la autodeterminación informativa.

 

1. En que consiste el nuevo delito

El nuevo artículo 12-A de la Ley de Delitos Informáticos sanciona a quien posee, compra, recibe, comercializa, vende, facilita, intercambia o trafica:

 

  1. datos informáticos,
  2. credenciales de acceso, o
  3. bases de datos personales,

 

La sanción se aplica cuando el agente conoce o debió presumir que esa información fue obtenida sin consentimiento del titular, o mediante vulneración de sistemas de seguridad o por la comisión de un delito informático.

 

La norma no se enfoca solo en “hackear” o “extraer” información, si no que persigue el mercado posterior (compra, venta, intercambio, posesión, etc.) y la tenencia de datos ilícitos en determinados supuestos.

 

Cabe recordar que ya existía en el Código Penal el Artículo 154-A sobre tráfico ilegal de datos personales, por el cual se sanciona a quien ilegítimamente comercializa o vende información no pública de la esfera personal, familiar, patrimonial, laboral, financiera u otra análoga de una persona natural, con pena de 2 a 5 años, y prevé un incremento si se comete como integrante de una organización criminal.

 

LEA TAMBIÉN: Elecciones Generales 2026: consulta si eres miembro de mesa

 

2. Pena aplicable

 La conducta descrita se sanciona con:

  • pena privativa de libertad no menor de 5 ni mayor de 8 años, y
  • 180 a 365 días-multa.

 

3. Agravantes

La pena se incrementa a no menos de 8 ni más de 10 años, e incorpora inhabilitación, cuando ocurra cualquiera de estas circunstancias:

  1. el agente actúa como integrante de una organización criminal;
  2. se cause perjuicio patrimonial grave o afectación a una pluralidad de personas; o
  3. la base de datos sea procesada o custodiada por una entidad pública.

 

 

4. Excepciones: cuándo no hay responsabilidad penal

El artículo 12-A también establece supuestos en los que no hay responsabilidad penal, siempre que no exista finalidad de aprovechamiento ilícito ni de comercialización indebida:

 

  • cuando se cuente con autorización expresa del titular, conforme a la Ley n.° 29733 (Protección de Datos Personales);

 

  • cuando se actúe en cumplimiento de mandato judicial o administrativo emitido conforme a ley; o

 

  • cuando se trate del ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas.

 

Estas exclusiones son importantes para identificar actividades legítimas como auditorías autorizadas, ciertos tratamientos con base jurídica válida y actuaciones derivadas de requerimientos formales.

 

5. ¿Qué implica para las empresas?

Aunque el tipo penal se dirige a conductas dolosas o al menos con un estándar en que “debieron presumir”, en la práctica eleva el riesgo para las empresas que de buena fe adquieren bases de datos y que no están en pleno conocimiento de la trazabilidad con la que se ha construido, así como de si cuentan con el respaldo de consentimiento de los titulares o de una fuente lícita. Asimismo, para aquellas que tercerizan marketing, call center, analítica o prospección con proveedores que no puedan acreditan la licitud del origen de datos; entre otros aspectos.

 

En esa línea, se recomienda debida diligencia de proveedores para que puedan documentar el origen lícito de los datos, base legal y medidas de seguridad adoptadas, prohibir el uso de bases no verificadas y documentar los consentimientos e incorporar en sus contratos las obligaciones de licitud y seguridad, dejando claras las responsabilidades que correspondan.

 

LEA MÁS:

Aumenta la demanda y el precio del alquiler de casas de playa en 40 % y 5 %

Presupuesto limitado del ANIN pone en riesgo 30 proyectos ribereños

Piura avanza hacia una economía circular en las cadenas de banano y conchas de abanico

CCL Conectados