Nuevo delito de adquisición, posesión y tráfico ilícito de datos informáticos: impacto penal y riesgos para las empresas

1. Antecedentes normativos

Mediante el Decreto Legislativo N.° 1700, publicado el 24 de enero de 2026, el Poder Ejecutivo modificó la Ley N.° 30096 – Ley de Delitos Informáticos, incorporando el artículo 12-A, que tipifica de manera autónoma el delito de adquisición, posesión y tráfico ilícito de datos informáticos .

La norma se dicta en el marco de las facultades legislativas delegadas en materia de seguridad ciudadana y lucha contra la criminalidad organizada, y responde a la creciente relevancia económica y criminal de los datos personales y corporativos en el entorno digital.

2. El problema jurídico: de los “hackers” a la economía ilegal de datos

Hasta antes de esta reforma, el Derecho penal informático se concentraba principalmente en el acceso ilícito a sistemas o en la interferencia de datos. Sin embargo, la práctica demostraba que el mayor riesgo ya no se encontraba únicamente en el ataque inicial, sino en la cadena posterior de explotación económica de la información.

En la realidad criminológica actual, bases de datos personales, credenciales de acceso, historiales médicos, antecedentes penales, información financiera o listados de contactos se compran, venden y transfieren como verdaderos activos en mercados clandestinos, muchas veces con participación de intermediarios que no ejecutaron el acceso ilícito original.

El D. Leg. N.° 1700 reconoce expresamente esta evolución y desplaza el foco de tutela penal hacia la economía ilegal de los datos.

3. Contenido del nuevo artículo 12-A de la Ley N.° 30096

El nuevo tipo penal sanciona a quien:

• Posee, compra, recibe, comercializa, vende, facilita, intercambia o trafica
• datos informáticos, credenciales de acceso o bases de datos personales,
• con conocimiento o debiendo presumir que fueron obtenidos:
  • sin consentimiento del titular,
  • mediante vulneración de sistemas de seguridad, o
  • como resultado de un delito informático.

Pena base:

• Prisión de 5 a 8 años,
• 180 a 365 días-multa.

Circunstancias agravadas (pena de 8 a 10 años e inhabilitación):

• Actuación como integrante de una organización criminal.
• Afectación a una pluralidad de personas o perjuicio patrimonial grave.
• Datos procesados o custodiados por una entidad pública.

4. Cláusulas de exclusión de responsabilidad penal

La norma prevé supuestos expresos de atipicidad penal, cuando el tratamiento de datos se realiza:

• Con autorización expresa del titular, conforme a la Ley N.° 29733 (Protección de Datos Personales).
• En cumplimiento de un mandato judicial o administrativo válido.
• En el ejercicio legítimo de derechos fundamentales o funciones legalmente reconocidas.

No obstante, la exclusión opera solo si no existe finalidad de aprovechamiento ilícito ni de comercialización indebida de la información.

5. Impacto penal para empresas, directorios y oficiales de cumplimiento

Desde una perspectiva empresarial, esta reforma tiene consecuencias directas:

• La gestión de datos deja de ser exclusivamente un asunto tecnológico o regulatorio y pasa a ser una fuente directa de riesgo penal.
• La procedencia y trazabilidad de las bases de datos adquieren relevancia penal autónoma.
• La posesión o uso de información de origen ilícito, incluso sin haber participado en el acceso inicial, puede generar responsabilidad penal.

Para directorios, gerentes, Compliance Officers (CO) y Data Protection Officers (DPO), el mensaje del legislador es claro:

• No basta con políticas formales o cumplimiento documental.
• Es necesario integrar la gestión de datos en los mapas de riesgo penal.
• Se debe reforzar la debida diligencia digital, revisar cadenas de suministro de información y establecer mecanismos efectivos de prevención, detección y respuesta.
• En la economía de los datos, la omisión relevante también puede generar responsabilidad penal.

6. Conclusiones y recomendaciones prácticas (ECOVIS)

1. El D. Leg. N.° 1700 marca un cambio estructural en el Derecho penal informático peruano, alineándolo con estándares de tutela reforzada de la autodeterminación informativa.
2. Se amplía el espectro de sujetos penalmente relevantes, alcanzando a quienes adquieren o utilizan datos de origen ilícito, incluso en etapas posteriores al delito inicial.
3. Las empresas deben revisar con urgencia:
   • Políticas de adquisición y uso de bases de datos.
   • Controles internos sobre proveedores de información.
   • Programas de compliance penal y digital.

La gestión responsable de datos no solo reduce sanciones administrativas, sino que hoy constituye una barrera esencial frente a la responsabilidad penal.