Delitos informáticos: medida busca más allá de perseguir al «hacker» alcanzar al «receptador» o comercializador de la data
Delitos informáticos. La legislación peruana incorporó hoy como delito conductas vinculadas a la adquisición, comercialización y tráfico de datos informáticos, como passwords o claves, banco de datos, entre otros ilícitamente obtenidos como parte de las acciones de Gobierno en materia de seguridad y lucha contra la criminalidad organizada, en el marco de las facultades delegadas al Ejecutivo por el Congreso de la República.
Esta modificación legislativa trata de sancionar no solo la mera posesión y facilitación de los datos personales, sino que ahora, el Estado peruano busca asfixiar el mercado económico detrás del robo de información y se apresta a perseguir al «hacker» para alcanzar también al «receptador» o comercializador de la data.
El Decreto Legislativo N° 1700 publicado este sábado 24, modifica la Ley Nº 30096, Ley de Delitos Informáticos, incorporando un tipo penal autónomo que sancione la posesión, compra, recepción, venta, comercialización, intercambio, facilitamiento o tráfico ilícito de datos informáticos obtenidos sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático.
Este es el nuevo texto de la norma:
“Artículo 12-A.- Adquisición, posesión y tráfico ilícito de datos informáticos. El que posee, compre, recibe, comercialice, vende, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, teniendo conocimiento o debiendo presumir que se obtuvo sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático, es reprimido con pena privativa de libertad no menor de cinco (5) ni mayor de ocho (8) años y con ciento ochenta (180) a trescientos sesenta y cinco (365) días-multa.
La pena privativa de libertad es no menor de ocho (8) ni mayor de diez (10) años, e inhabilitación, cuando:
- a) El agente actúa como integrante de una organización criminal;
- b) Se cause perjuicio patrimonial grave o afectación a una pluralidad de personas; c) La base de datos es procesada o custodiada por una entidad pública.
Queda exceptuada de responsabilidad penal la adquisición, posesión, intercambio o tratamiento de datos informáticos cuando estas conductas se realicen con autorización expresa del titular, conforme a la Ley Nº 29733, Ley de Protección de Datos Personales, en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni de comercialización indebida de la información”. Vea el Texto completo de la norma:
El análisis de la norma en detalle
Este Decreto Legislativo, el N° 1700, marca un hito importante en la ciberseguridad y la protección de datos en el Perú al modificar la Ley Nº 30096 (Ley de Delitos Informáticos).
- El Núcleo del Cambio: Un Nuevo Delito Autónomo
Lo más relevante de esta norma es la creación del Artículo 12-A. Antes, muchas de estas conductas se perseguían de forma indirecta. Ahora, existe un tipo penal específico para el «tráfico de datos», lo que facilita la labor de la fiscalía al no tener que probar necesariamente que el imputado fue quien «hackeó» el sistema, sino simplemente que posee o comercializa información obtenida ilícitamente.
- Elementos Clave del Tipo Penal
El análisis técnico de la conducta prohibida se divide en:
- Verbos Rectores: No solo se sanciona la venta. El delito abarca: poseer, comprar, recibir, facilitar e intercambiar. Esto cierra el círculo sobre toda la cadena de suministro de datos robados.
- El Objeto del Delito: Datos informáticos, credenciales de acceso (passwords, tokens) y bases de datos personales.
- El Elemento Cognitivo: La norma castiga a quien actúa «teniendo conocimiento o debiendo presumir» el origen ilícito. Esto es vital, ya que elimina la excusa de «yo no sabía que eran robados» si las circunstancias (como el precio o el lugar de compra) sugieren ilegalidad.
- Escala de Sanciones y Agravantes
La norma establece una estructura de penas severa, proporcional al daño que el cibercrimen causa en la economía y la privacidad:
| Escenario | Pena Privativa de Libertad |
| Tipo Base (Posesión/Tráfico) | 5 a 8 años |
| Con Agravantes (Org. criminal, daño masivo o entidad pública) | 8 a 10 años + Inhabilitación |
Factores Agravantes:
- Organización Criminal: Dirigido a desarticular mafias que operan en mercados negros (como el «Deep Web» o centros comerciales tecnológicos informales).
- Afectación Masiva: Cuando el daño patrimonial es grave o afecta a muchas personas (ej. filtración masiva de tarjetas de crédito).
- Sector Público: Si los datos provienen del Estado, la protección es mayor debido a la sensibilidad de la información nacional.
- Las Excepciones (Salvaguardas)
Para evitar que esta ley afecte a investigadores de seguridad, periodistas o procesos legales legítimos, el texto incluye excepciones claras:
- Consentimiento: Si el titular autorizó el uso de datos según la Ley 29733.
- Mandato Judicial: Investigaciones oficiales.
- Ejercicio de Derechos: Defensa de derechos fundamentales (como el periodismo de investigación), siempre que no haya fin de lucro ilícito.
