Hasta 10 años de prisión por tráfico ilícito de datos informáticos en Perú: norma se actualiza e incorporan nuevo delito
El decreto que modifica la Ley Nº 30096 establece sanciones para quienes compren, comercialicen o faciliten datos obtenidos sin consentimiento, ampliando la protección legal frente a filtraciones y delitos informáticos.
- Dictan 6 años de cárcel para hackers que vendían datos del Reniec en página web 'Zorrito Run Run'
- Ministerio de Cultura denuncia hackeo de su cuenta en X: "Estamos realizando las acciones correspondientes"
El Poder Ejecutivo promulgó este 24 de enero el Decreto Legislativo Nº 1700, que modifica la Ley Nº 30096 (Ley de Delitos Informáticos), incorporando un nuevo tipo penal que sanciona la "posesión, compra, recepción, venta, comercialización, intercambio, facilitamiento o tráfico ilícito de datos informáticos", obtenidos sin consentimiento de la persona a la que pertenecen, ya sea mediante vulneración de sistemas de seguridad o la comisión de delitos informáticos.
Esta actualización amplía la protección legal que ya existía bajo la mencionada ley y castiga no solo a quien viola los sistemas de seguridad, sino a aquellos que compren y comercialicen los mencionados datos. Esta actualización se da en un contexto marcado por filtraciones masivas de información y el uso de datos personales como insumo clave para delitos como la extorsión y la suplantación de identidad.
TE RECOMENDAMOS
🚨 EN VIVO DEBATE PRESIDENCIAL 2026 HOY, 25 de marzo: KEIKO, NIETO y 10 candidatos CARA A CARA #HLR
PUEDES VER: Hackers suplantan al Banco de la Nación y roban S/ 1.2 millones de la Municipalidad de Sullana en Piura
Actualizan Ley de Datos Informáticos con penas de hasta 10 años
“Esta actualización es importante. La norma ahora apunta a toda la cadena de comercialización de datos personales. Es decir, apunta a cubrir de alguna forma las brechas informáticas, que es lo que se está dando ahora”, explicó el especialista Oscar Montezuma, abogado especialista en derecho digital. El nuevo tipo penal contempla tres categorías específicas: datos informáticos, credenciales de acceso (passwords o contraseñas, pines, etc) y bases de datos personales, reforzando así la protección frente a distintas formas de uso indebido de la información.
Según el especialista, la norma remite directamente a la Ley de Protección de Datos Personales, que define como dato personal a toda información que identifica o puede identificar a una persona natural: "Esto incluye datos evidentes, como el DNI, la dirección o el correo electrónico, así como información que, combinada con otros elementos, permita identificar a un individuo".
"La ley no exige que el dato identifique de manera directa; basta con que exista un potencial de identificación”, precisó Montezuma.
Penas de hasta 10 años
La actualización de la norma establece penas de hasta 10 años para este delito. En principio, quienes incumplan serán sancionados con una pena privativa de libertad de 5 a 8 años y multas de 180 a 365 días-multa. En nuestro país, "el juez encargado debe fijar cuántos días-multa corresponde imponer y determinar el valor de cada día tomando como base el ingreso diario del infractor, aplicando un porcentaje según su capacidad económica", precisó el especialista. "Es decir, el ingreso diario sirve como referencia", añadió.
La pena se agrava hasta los 10 años de privación de la libertad e inhabilitación cuando el delito se comete como integrante de una organización criminal, cuando se causa perjuicio patrimonial grave o afecta a múltiples personas, y cuando la base de datos pertenece a una entidad pública.
Por otro lado, se exceptúa de responsabilidad penal la adquisición o tratamiento de datos cuando esto se realiza con autorización del titular, en cumplimiento de un mandato judicial o administrativo, o en el ejercicio legítimo de derechos o funciones legales, siempre que no haya finalidad ilícita ni comercialización indebida.
La norma también introduce un elemento clave: no solo se sanciona a quien actúa con conocimiento, sino también a quien “debió presumir” que los datos fueron obtenidos sin consentimiento. "No puedes asumir por defecto que la información que recibes está autorizada; existe un deber de diligencia”, señaló el especialista.
PUEDES VER: Ciberestafas en aumento en Perú: así operan las llamadas y mensajes falsos que roban tu información personal
Retos y desafíos
De acuerdo al especialista, lo que se busca es "fortalecer el marco legal existente, tanto en la Ley de Protección de Datos Personales como en el decreto de Confianza Digital publicado el año pasado. Ahora, estas disposiciones se trasladan al ámbito penal para sancionar este tipo de conductas desde esa perspectiva".
Sin embargo, el especialista advirtió riesgos en su aplicación. “Estas sanciones requieren un conocimiento profundo de los aspectos tecnológicos. Si no hay capacidad técnica en las autoridades, puede haber interpretaciones equivocadas”, sostuvo.
Según advierte, la misión del Ministerio Público y el Poder Judicial es potenciar esta norma a partir de la construcción de capacidades técnicas, herramientas especializadas y un presupuesto adecuado. Según Montezuma, la norma debe ir acompañada de inversión y cooperación internacional de la mano de países con competencias más desarrolladas en el tema. “Si no se fortalecen las capacidades, la ley corre el riesgo de quedarse en letra muerta”, advirtió.
Frente a este escenario, el especialista recomendó a los usuarios adoptar medidas básicas de seguridad digital, como el uso de contraseñas complejas, la activación de la doble autenticación y una mayor cautela al compartir información personal en plataformas digitales. Para las empresas y entidades públicas, el mensaje es claro: “La protección de datos dejó de ser un tema accesorio. Hoy es una obligación legal que debe cumplirse tanto a nivel administrativo como penal”.
¡Sigue a La República en WhatsApp! Únete a nuestro canal desde tu celular y recibe las noticias más importantes de Perú y el mundo en tiempo real.
