Protección de datos y riesgo penal: El nuevo frente de exposición empresarial

Leyla Morante,
asociada senior de Echecopar. Abogada por la Universidad Católica Santo Toribio de Mogrovejo, con maestría en Derecho Penal por la Pontificia Universidad Católica del Perú y especialización en Contrataciones con el Estado por ESAN. Su práctica profesional se centra en la defensa penal y la consultoría legal, asesorando a clientes corporativos en procesos penales complejos en sede policial, fiscal y judicial, con un enfoque analítico y estratégico. Cuenta con una destacada trayectoria académica como autora y ponente, ha sido reconocida por excelencia académica durante sus estudios de posgrado y obtuvo la máxima calificación en su tesis de maestría.

 

El Decreto Legislativo N.° 1700, publicado el 24 de enero de 2026, incorporó el artículo 12‑A en la Ley de Delitos Informáticos, creando el delito de adquisición, posesión y tráfico ilícito de datos informáticos. La norma sanciona a quien posee, compra, recibe, comercializa, vende, facilita, intercambia o trafica datos informáticos, credenciales de acceso o bases de datos personales, teniendo conocimiento o debiendo presumir que se obtuvieron sin consentimiento del titular o mediante vulneración de seguridad o comisión de delito informático. La pena base es severa (5 a 8 años), con agravantes (8 a 10 años e inhabilitación) si se ejecuta como parte de una organización criminal, hay perjuicio patrimonial grave o afectación a una pluralidad de personas, o si la base de datos es procesada o custodiada por una entidad pública. Además, dicho artículo contempló excepciones cuyo alcance resulta determinante para delimitar cuándo una conducta queda fuera del ámbito penal y cuándo, por el contrario, mantiene relevancia punitiva. De manera posterior, el 13 de febrero de 2026, el artículo 12‑A fue objeto de una precisión relevante, incorporando una nueva excepción.

Así, en su actual redacción, la conducta tipificada está exceptuada de responsabilidad penal cuando se realice: (i) con autorización expresa del titular, conforme a la Ley N.° 29733; (ii) en cumplimiento de un mandato judicial o administrativo emitido conforme a ley; (iii) en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas; o (iv) en el desarrollo de actividades propias de los sectores bursátil, financiero, previsional o de seguros.

Además, se precisa que estas excepciones operarán únicamente en la medida en que no exista una finalidad de aprovechamiento ilícito ni de comercialización indebida de la información, lo que delimita de manera expresa el alcance de las excepciones y evita que se interpreten como una legitimación o “permisión” de las conductas tipificadas en el artículo 12-A.

En ese contexto, a partir de la incorporación del artículo 12‑A, hoy resulta particularmente insostenible que las compañías no presten atención a la forma en que se obtienen los datos personales ni a la cadena de transmisión y tratamiento de la información (como su compra, recepción, intercambio o simple tenencia). Dichos aspectos dejan de ser secundarios y pasan a constituir elementos centrales para evaluar la licitud del tratamiento de los datos debido a que, de lo contrario, podría generarse responsabilidad penal.

Si bien existen diversas aristas que podrían analizarse a partir de la incorporación de este delito, resulta especialmente relevante detenerse en el alcance de una de las excepciones previstas en el artículo 12‑A, referida a la ejecución de la conducta en el contexto del desarrollo de actividades propias de los sectores bursátil, financiero, previsional o de seguros.

En ese contexto, es importante cuestionarse sobre el objetivo de esta excepción. Esta busca: i) ¿disminuir los estándares de tratamiento de datos en determinados sectores y convertir en lícito lo que para otros sectores podría ser ilícito? o ii) ¿evitar que infracciones de naturaleza administrativa se transformen automáticamente en delitos? Desde nuestra perspectiva, esta segunda interpretación es la más coherente. La incorporación de esta última excepción a la norma procura evitar una criminalización desproporcionada de supuestos en los que la tenencia o el tratamiento de datos responde a exigencias regulatorias u operativas. Ello, en la medida que esta excepción aplicará siempre que no exista una finalidad de aprovechamiento ilícito ni de comercialización indebida de la información.

Este artículo se estructura de la siguiente manera: en primer lugar, se analiza qué se habría buscado proteger con la incorporación del artículo 12‑A en la Ley de Delitos Informáticos y el estándar de imputación; luego, se examina la relevancia del origen de los datos incluso cuando el uso final sea lícito, con especial énfasis en los conceptos de comercialización indebida y aprovechamiento ilícito; posteriormente, se aborda el alcance de la excepción referida a cuando la conducta se desarrolla en sectores bursátil, financiero, previsional o de seguros, identificando los riesgos interpretativos; y, finalmente, se proponen algunas pautas prácticas orientadas a la gestión y mitigación de riesgos penales en el tratamiento de datos personales.

El sentido y alcance del artículo 12–A ¿Qué se busca proteger, por qué y cómo podría impactar en la actividad empresarial?

El artículo 12‑A no solo sanciona a quien ingresa ilegalmente a un sistema informático, sino que también apunta a quienes se benefician del uso y circulación de datos obtenidos de manera ilícita, considerando todo el proceso mediante el cual esos datos son adquiridos, transferidos y utilizados, incluso tipificándose la sola tenencia de dichos datos cuando no existe consentimiento.

Esto tiene una implicancia directa para empresas, dado que pueden verse expuestas a riesgos penales principalmente cuando adquieren bases de terceros (proveedores de marketing, socios comerciales, etc.), reciben listados como parte de intercambios entre compañías, heredan bases históricas sin evidencia de consentimiento y/o no se tiene una trazabilidad clara respecto del origen de la información, entre otros.

El estándar subjetivo del delito: conocimiento y deber presumir

Además, resulta relevante destacar que el artículo 12‑A establece que, para la materialización del delito, basta con una sospecha razonable sobre el origen ilícito de los datos, al sancionar a quien actúa teniendo conocimiento o debiendo presumir dicho origen. Este estándar basado en el “deber presumir” excluye la posibilidad de invocar una actitud meramente pasiva o de simple desconocimiento particularmente cuando concurrían indicios objetivos y razonables que permitían cuestionar su licitud.

Uso lícito vinculado al origen: primer límite de la excepción

Uno de los principales desafíos interpretativos del artículo 12‑A radica en determinar si la licitud del uso final de los datos personales adquiridos resulta suficiente para activar la excepción a la responsabilidad penal, o si, por el contrario, el análisis debe extenderse al modo en que dichos datos fueron obtenidos. Este punto es clave, pues permite identificar los primeros límites materiales de la excepción, especialmente frente a supuestos en los que la finalidad del tratamiento podría aparentar ser legítima, pero el origen o el circuito de adquisición de la información resulta cuestionable. En ese sentido, sí resulta relevante el origen debido a dos razones principales:

  • La primera, porque la comercialización indebida también puede darse en el origen (adquisición de la data), no solo en el uso posterior. En ese entendido, una lectura superficial podría llevar a pensar que basta con que, después de obtener los datos, estos no sean comercializados ni explotados ilegalmente. Pero esa interpretación no resulta coherente, debido a que el tipo penal sanciona verbos como comprar, recibir, comercializar, facilitar, intercambiar; por ende, si la excepción eliminara la ilicitud solo porque de manera posterior los datos fueron usados “correctamente” el delito quedaría vacío de contenido. No tendría sentido tipificar “comprar bases ilícitas” si la responsabilidad desaparece porque el comprador alegue que la finalidad posterior era – por ejemplo – “contactar con ofertas legítimas” o “prevenir fraude”.

Por ello, el análisis sistemático lleva a concluir que la comercialización indebida puede configurarse desde el mecanismo de adquisición: si el dato se obtiene por compra de una base que no cuenta con consentimiento y cuyo origen se presume ilícito, el acto mismo de compra se alinea con la lógica de mercado ilícito que el artículo 12‑A pretende desincentivar.

  • La segunda, porque la excepción no cubre todas las conductas del primer párrafo, ya que la norma únicamente exceptúa la “adquisición, posesión, intercambio o tratamiento” y no aquellas conductas asociadas al tráfico y/o comercialización. Es decir, no basta con “usar los datos para algo permitido” si el circuito de obtención fue ilícito o razonablemente sospechoso, sí tiene relevancia la manera a través de la cual estos fueron adquiridos.

El “aprovechamiento ilícito” como segundo límite de la excepción: consecuencias en el contacto con clientes

El aprovechamiento ilícito se configura cuando los datos personales son utilizados con la finalidad de obtener algún tipo de beneficio (ya sea económico, comercial) en contravención del marco normativo aplicable. Esta ilicitud no se circunscribe exclusivamente a la infracción de normas penales, sino que puede derivar también del incumplimiento de disposiciones de naturaleza administrativa, sectorial o regulatoria, como las contenidas en la Ley de Protección de Datos Personales u otros cuerpos normativos especiales.

En ese sentido, el contacto con clientes con fines comerciales por parte de compañías vinculadas al sector bursátil, financiero, previsional o de seguros – por ejemplo, para ofrecer productos de seguros, servicios financieros, promociones u otros productos análogos – sin contar con el consentimiento correspondiente puede constituir una infracción tanto a la Ley de Protección de Datos Personales como al Código de Protección y Defensa del Consumidor. En estos supuestos, el tratamiento de los datos personales carece de una base legal válida y se traduce en una utilización indebida de la información, orientada a la obtención de un beneficio económico o comercial.

Por ello, cuando los datos personales son obtenidos y posteriormente utilizados para contactar a clientes con fines comerciales sin consentimiento, nos encontraríamos frente a un supuesto de aprovechamiento ilícito de la información. Esta circunstancia impediría la aplicación de la exoneración de responsabilidad penal prevista en el artículo 12‑A de la Ley de Delitos Informáticos, dado que no se cumple el presupuesto normativo de ausencia de aprovechamiento ilícito exigido expresamente por la excepción.

Sin perjuicio de lo anterior, el análisis debe efectuarse de manera casuística, ya que podrían existir supuestos en los que el contacto con el cliente no requiere necesariamente el consentimiento expreso del titular, siempre que el tratamiento de los datos se sustente en una base legal válida conforme a la Ley de Protección de Datos Personales. Así, cuando el contacto se realiza por ejemplo para el cumplimiento de una obligación legal o en el marco de la ejecución de una relación contractual vigente en la que el titular es parte, y se limita a finalidades compatibles con dicha relación, el tratamiento de los datos podría considerarse lícito y, en consecuencia, quedar fuera tanto del reproche penal.

Lo indicado debido a que, a nuestra consideración, el aprovechamiento ilícito implica la obtención de un beneficio (económico, comercial, competitivo o de otra naturaleza). En consecuencia, la norma no limita el concepto de “ilícito” a lo penal, sino que puede abarcar infracciones administrativas. Por ello, si una compañía – por ejemplo, financiera – obtiene datos y los utiliza para campañas comerciales, renovaciones, ofertas, etc., sin tener el consentimiento, podría existir un beneficio comercial, lo cual encaja razonablemente en la idea de “aprovechamiento ilícito”.

La excepción relacionada con el desarrollo de actividades en los sectores bursátil, financiero, previsional o de seguros: finalidad y riesgos que se buscó evitar.

Habiendo establecido y dejado claro los límites que operan en la excepción prevista en el artículo 12-A vinculados al “aprovechamiento ilícito” y la “comercialización indebida, es importante mencionar que, la incorporación expresa de actividades en sectores bursátil, financiero, previsional y de seguros parece un intento por parte del legislador de no convertir en ilícito lo que sucede en la práctica en los sectores regulados, debido a que, en estos sectores, el tratamiento de datos personales suele ser inevitable debido a obligaciones legales. En ese contexto, la línea entre lo administrativo y lo penal no debería desdibujarse al punto de criminalizar el hecho de tener datos cuando la finalidad es legítima y exigida por ley.

Lo anterior debido a que existen compañías que poseen bases antiguas, migradas o heredadas respecto de las cuales no siempre es posible reconstruir el consentimiento, pese a esfuerzos razonables; por ende, criminalizar automáticamente esos supuestos podría ser desproporcionado y generaría un riesgo sistémico resultando en convertir la gestión de datos en un tema penal. Más aún cuando el Derecho Penal se reserva para conductas más graves y como última ratio.

Dicho esto, el riesgo de esta excepción es que podría ser interpretada como una especie de “permiso” para determinadas prácticas que, si es que no se analizadas correctamente, sí podrían generar contingencias penales.

Lo que deberían hacer los sectores bursátil, financiero, previsional o de seguros a fin de disminuir riesgos legales

Dependiendo de cada caso en concreto, de manera general podrían establecerse las siguientes acciones/medidas:

  • Establecer procedimientos para identificar el origen de bases de datos.
  • Mantener evidencia documental del consentimiento o base legal cuando sea requeridos por la norma y mantener trazabilidad.
  • Definir criterios de alertas que obliguen a detener el tratamiento masivo de bases de datos, cuando no se detecte la aplicación de controles sobre el origen y el tratamiento de bancos de datos personales.
  • Capacitar a equipos comerciales sobre los límites en el tratamiento de datos personales.
  • Establecer políticas de retención y depuración debido a que mantener datos sin finalidad clara aumenta exposición.

Anotaciones finales

La incorporación del artículo 12‑A es una herramienta valiosa si se usa para lo que fue diseñado, es decir combatir el tráfico y la clandestinidad de datos. Resulta acertado que el legislador haya previsto una excepción para evitar que el Derecho Penal criminalice ámbitos administrativos en contextos regulados y operativamente complejos como lo son los sectores bursátil, financiero, previsional o de seguros. Sin embargo, surge una advertencia importante, la excepción no debe convertirse en un argumento para normalizar campañas comerciales sin consentimiento u otra base legal.

Sin perjuicio de lo anterior, la redacción del artículo 12-A aún plantea diversos desafíos interpretativos que requerirán un mayor desarrollo doctrinario y un análisis más profundo a partir de su aplicación práctica. Será precisamente la actuación de las autoridades administrativas y judiciales la que permitirá delimitar con mayor claridad el alcance de conceptos como “aprovechamiento ilícito”, “comercialización indebida” y el estándar de “debiendo presumir”. En ese contexto, el presente artículo ha buscado identificar y proponer algunas pautas iniciales de interpretación, únicamente en una de las aristas de dicho artículo; sin embargo, no puede dejar de advertirse que la norma presenta zonas de ambigüedad que deberán ser precisadas progresivamente, a fin de garantizar seguridad jurídica y evitar una aplicación extensiva o desproporcionada del derecho penal.

Imagen de Autora Invitada

Autora Invitada

Ver todas las entradas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Publicaciones recientes

Te puede interesar

Publica con nosotros
Publica con nosotros
Buscar
Ver Entrevista