El pasado 13 de febrero de 2026 se publicó el Decreto Legislativo N.° 1741 que modifica el Decreto Legislativo N.°  1700 que incorpora el artículo 12-A a la Ley de Delitos Informáticos (Ley N.° 30096), creando un tipo penal autónomo que sanciona la adquisición, posesión y tráfico de datos informáticos obtenidos ilícitamente.

Esta norma impacta directamente a empresas de comercio electrónico, servicios tecnológicos y banca que manejan bases de datos de clientes, credenciales y activos de información digital. El riesgo no es solo operativo: es penal y personal para quienes toman decisiones.

Su texto es el siguiente:

Artículo 3.- Modificación del tercer párrafo del artículo 12-A de la Ley Nº 30096, Ley de Delitos Informáticos

Se modifica el tercer párrafo del artículo 12-A de la Ley Nº 30096, Ley de Delitos Informáticos, en los siguientes términos:

“Artículo 12-A.- Adquisición, posesión y tráfico ilícito de datos informáticos

El que posee, compre, recibe, comercialice, vende, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, teniendo conocimiento o debiendo presumir que se obtuvo sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático, es reprimido con pena privativa de libertad no menor de cinco (5) ni mayor de ocho (8) años y con ciento ochenta (180) a trescientos sesenta y cinco (365) días-multa.

La pena privativa de libertad es no menor de ocho (8) ni mayor de diez (10) años, e inhabilitación, cuando:

      1. a) El agente actúa como integrante de una organización criminal;
      2. b) Se cause perjuicio patrimonial grave o afectación a una pluralidad de personas; o
      3. c) La base de datos es procesada o custodiada por una entidad pública.

Queda exceptuada de responsabilidad penal la adquisición, posesión, intercambio o tratamiento de datos informáticos cuando estas conductas se realicen con autorización expresa del titular, conforme a la Ley Nº 29733, Ley de Protección de Datos Personales, en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales, funciones legalmente reconocidas, o actividades desarrolladas en los sectores bursátil, financiero, previsional o de seguros, siempre que no exista finalidad de aprovechamiento ilícito o de comercialización indebida de la información.”

¿Qué conducta penaliza exactamente el artículo 12-A?

📌 Tipo penal base

Se sanciona a quien:

Posee, compra, recibe, comercializa, vende, facilita, intercambia o trafica datos informáticos, credenciales de acceso o bases de datos personales cuando:

  • Sabe o
  • Debió presumir

Que dichos datos fueron obtenidos:

  • Sin consentimiento del titular, o
  • Mediante vulneración de sistemas de seguridad, o
  • Como resultado de otro delito informático.

Pena base:

  • 5 a 8 años de prisión
  • 180 a 365 días-multa

 

Elementos jurídicos clave del tipo penal

  1. Objeto material protegido
  • Datos informáticos (no solo datos personales)
  • Credenciales de acceso (usuarios, contraseñas, tokens)
  • Bases de datos personales

El bien jurídico protegido es la seguridad de la información y la confianza en los sistemas digitales.

  1. Elemento subjetivo: “conocimiento o deber de presumir”

Aquí está uno de los puntos más sensibles para empresas.

  • No se exige necesariamente dolo directo.
  • También se sanciona cuando el agente “debía presumir” el origen ilícito.

Esto introduce un estándar de debida diligencia empresarial.

En términos prácticos:

Situación Riesgo penal
Compra de base de datos sin trazabilidad Alto
Uso de credenciales filtradas en dark web Alto
Adquisición de leads sin contrato claro ni verificación de origen Alto
Integración de base de datos validada con cláusulas de licitud Bajo

 

Agravantes (8 a 10 años + inhabilitación)

La pena se eleva cuando:

  1. a) Organización criminal

Impacta especialmente en esquemas estructurados de tráfico masivo de datos.

  1. b) Perjuicio patrimonial grave o afectación a pluralidad de personas

Ejemplo:

  • Filtración masiva de tarjetas de crédito
  • Venta de base de datos de clientes bancarios
  • Exposición de historiales financieros
  1. c) Base de datos procesada o custodiada por entidad pública

Riesgo alto en:

  • Proveedores tecnológicos del Estado
  • Outsourcing de servicios digitales públicos

Cláusula de exclusión de responsabilidad penal

El tercer párrafo introduce una excepción relevante. No hay delito cuando:

✅ 1. Existe autorización expresa del titular

Conforme a la Ley 29733 (Protección de Datos Personales)

✅ 2. Cumplimiento de mandato judicial o administrativo

✅ 3. Ejercicio legítimo de:

  • Derechos fundamentales
  • Funciones legalmente reconocidas
  • Actividades en sectores
  • Bursátil
  • Financiero
  • Previsional
  • Seguros

⚠ Condición esencial:

No debe existir finalidad de aprovechamiento ilícito o comercialización indebida.

Recomendaciones prácticas para clientes

  1. Implementar “due diligence de datos”

Antes de adquirir o usar bases de terceros:

  • Solicitar declaración de origen lícito
  • Exigir evidencia de consentimiento
  • Incorporar cláusulas indemnizatorias
  • Verificar cumplimiento de Ley 29733
  1. Fortalecer trazabilidad interna
  • Registro de fuentes de bases de datos
  • Bitácora de accesos
  • Gestión segura de credenciales
  • Evaluaciones de impacto
  1. Ajustar contratos tecnológicos

Incluir cláusulas sobre:

  • Garantía de origen lícito de datos
  • Responsabilidad por suministro irregular
  • Cooperación ante investigaciones penales

Fatima Toche Vega
Socia Principal
IALaw 
http://iriartelaw.com